Seorang peneliti keamanan baru-baru ini menerbitkan detail tentang kerentanan dalam browser Safari yang dapat disalahgunakan untuk membocorkan atau mencuri file dari perangkat pengguna.
Kerentanan ini ditemukan oleh Pawel Wylecial, salah satu pendiri perusahaan keamanan di Polandia REDTEAM.PL.
Wylecial awalnya melaporkan kerentanan ke pihak Apple pada bulan April kemarin, tetapi peneliti memutuskan untuk mengumumkan temuannya baru-baru ini setelah Apple memutuskan untuk menunda perbaikan kerentanan tersebut selama hampir satu tahun, hingga musim semi 2021.
Dalam sebuah posting blog yang diterbitkan, Wylecial mengatakan kerentanan berada dalam implementasi Web Share API Safari – standar web baru yang memperkenalkan API lintas browser untuk berbagi teks, tautan, file, dan konten lainnya.
Peneliti keamanan tersebut mengatakan bahwa Safari (di iOS dan macOS) mendukung berbagi file yang disimpan di hard drive lokal pengguna (melalui skema URI file://).
Ini adalah masalah privasi yang besar karena dapat mengarah pada situasi di mana laman web berbahaya dapat mengajak pengguna untuk berbagi artikel dengan teman-teman mereka, tetapi aslinya diam-diam mencuri atau membocorkan file dari perangkat mereka.
Wylecial mendeskripsikan kerentanan sebagai ‘bukan hal yang terlalu serius’ karena interaksi pengguna dan manipulasi psikologis diperlukan untuk mengelabui pengguna agar membocorkan file lokal, namun, dia juga mengakui bahwa cukup mudah bagi penyerang untuk “membuat file yang dibagikan tidak diketahui oleh pengguna.”
Baca Juga: “Kerentanan Dalam Apple Touch ID Memungkinkan Untuk Membajak Akun iCloud“
Namun, masalah sebenarnya di sini bukan hanya kerentanan itu sendiri dan seberapa mudah atau rumit untuk mengeksploitasinya, tetapi bagaimana Apple menangani laporan kerentanan tersebut.
Apple tidak hanya gagal menyiapkan perbaikan dalam waktu setelah lebih dari empat bulan, tetapi perusahaan juga mencoba menunda peneliti untuk menerbitkan temuannya hingga musim semi berikutnya, hampir setahun penuh sejak laporan kerentanan yang asli, dan jauh melampaui standar. Batas waktu pengungkapan kerentanan yang diterima secara luas di industri infosec itu 90 hari.
Situasi seperti yang harus dihadapi oleh Wylecial menjadi semakin umum di kalangan bug hunter iOS dan macOS akhir-akhir ini.
Apple – meskipun memiliki program bug bounty khusus – semakin sering digosipkan sengaja menunda kerentanan dan mencoba membungkam peneliti keamanan.
Misalnya, ketika Wylecial mengungkapkan temuannya ini, peneliti lain melaporkan situasi serupa di mana Apple menunda perbaikan kerentanan keamanan yang mereka laporkan selama lebih dari setahun.
I reported one issue in June 2019. It will be fixed on "Fall of 2020" 😅
— Wojciech ReguÅ‚a (@_r3ggi) August 24, 2020
Ketika pada bulan Juli, Apple mengumumkan aturan program Security Research Device, tim keamanan Project Zero kebanggaan Google menolak untuk berpartisipasi, mengklaim bahwa aturan program secara khusus ditulis untuk membatasi pengungkapan publik dan membungkam peneliti keamanan tentang temuan mereka.
Tiga bulan sebelumnya, pada bulan April, peneliti keamanan lain juga melaporkan pengalaman serupa dengan program bug bounty Apple, yang dia gambarkan sebagai “candaan”, yang menggambarkan tujuan program sebagai mencoba “untuk membuat para peneliti tetap diam tentang kerentanan selama mungkin.”
Apple announced the program in August, didn't open it until a few days before Christmas, and now still have not paid a single Mac security researcher to my knowledge.
It's a joke. I think the goal is just to keep researchers quiet about bugs for as long as possible.
— Jeff Johnson (@lapcatsoftware) April 21, 2020
Saat artikel ini diterbitkan, pihak Apple menerima komentar-komentar itu tetapi tidak mengeluarkan pernyataan tentang masalah tersebut.
