研究人员声称,“过度分享”的beplay体育能用吗网络错误仍未解决
苹果的安全缺点苹果浏览器beplay体育能用吗Web共享API创建一种机制,该机制有可能允许攻击者窃取本地文件。
未解决的漏洞 - 安全研究人员发现pawel wycial- 影响MACOS桌面和iOS智能手机/平板电脑用户(Safari和Mobile Safari)。
Wylecial说他报告了这个问题苹果在4月,在一再追逐该主题的供应商之后,这家科技巨头告知它只计划在2021年4月的安全更新中发布更新。
面对更长时间的延迟,Wylecial公开了他的发现安全缺陷他警告说,可能会在社会工程攻击中利用。
波兰安全研究人员将问题与点击劫机脆弱性。
分享并享受
这beplay体育能用吗Web共享API允许Safari用户通过第三方应用程序(例如邮件和消息传递应用程序)共享浏览器的链接。
“问题是文件:允许方案,当网站指向这样的URL意外行为时。”beplay体育能用吗博客文章。
“如果这样的链接传递给navigator.share功能在共享消息中包含来自用户文件系统的实际文件,该文件导致本地文件披露。”
尽管需要某些用户互动才能进行利用,但Wylecial警告说,此障碍远非无法克服,因为“使用户不可见的共享文件非常容易”。
他补充说:“当我们试图说服毫无戒心的用户执行一些操作时,想到的最接近的比较是点击劫持。”
概念证明
可能会滥用该漏洞来欺骗Apple系统用户并拖上本地文件,尽管在大多数(但不是全部)方案中,将显示移交给文档的文件名。
iOS的消息非常突出显示文件名,但对于其他应用程序,例如Mail.App.MacOS,用户必须向下滚动以查看附加附件附加的附件的名称。
更直接地,可以使用缺陷来窃取iOS Safari浏览历史记录。
Wylecial已制定并发布了概念代码证明,以执行密码窃取和iOS野生动物园浏览历史记录。
研究人员还将YouTube上的视频演示如何使用Web共享API窃取用户的浏览历史记录。beplay体育能用吗
据说这次攻击可用于iOS(13.4.1,13.6)和Macos Catalina 10.15.5的最新版本,其中包括Safari 13.1.1,Wylecial报告。
Wylecial嫌疑犯其他依赖Webkit引擎的浏览器也可能很脆弱。beplay体育能用吗
为了回答《每日Swig》的问题,韦西亚beplay2018官网说“我尚未测试其他基于Webkit的浏览器,只检查beplay体育能用吗了Android的Chrome,但我的猜测是YES [它们很脆弱]”。
