14

Apple chce by Safari było najbezpieczniejsze, ale… nie łata zgłaszanych luk

facepalm
Apple często rozprawia o bezpieczeństwie swojego ekosystemu — dziś kolejny dowód na to, że to wszystko nie wyglada (i nie działa) tak kolorowo, jak byśmy tego oczekiwali.

W teorii ekosystem Apple jest bez skaz, wszystko tam działa jak należy, a użytkownicy nie mają żadnych obaw o swoje bezpieczeństwo. Ale teoria swoje, a praktyka swoje. Nie dalej niż przedwczoraj wspominałem o zestawie API których nie uświadczymy w przeglądarce Safari ze względu na obawy o bezpieczeństwo użytkowników. Ale na nic się zdadzą takie obostrzenia przy sprytnych przestępcach i… nieuważanych użytkownikach. Kilka miesięcy temu Jeff Johnson poinformował Apple o exploicie pozwalającym wykradać dane użytkowników. Metoda ataku nie jest jakoś specjalnie wyrafinowana — bazuje na nieuwadze użytkownika i instalacji złośliwego klonu Safari. Po jego pobraniu — przestępcy mają pełny dostęp do wszystkich plików z których korzysta Safari. I pewnie nie byłoby w tym nic szokującego gdyby nie podejście Apple do całej sprawy.

Minęło pół roku – luka wciąż nie została załatana

Johnson skorzystał z programu zgłaszania błędów — ale gigant z Cupertino przygląda się jej od ponad pół roku… bez skutku. A największym problemem jest to, że zawodzi systemowa weryfikacja w systemie macOS, która nigdy nie powinna dopuścić do takiej sytuacji. A żeby było jeszcze bardziej dramatycznie — nie tylko nie łata jej w obecnym systemie High Sierra, ale można z niej swobodnie skorzystać także wersji beta macOS 11 Big Sur. Kuriozum biorąc pod uwagę jak wiele kwestii prywatności i bezpieczeństwa Safari poświęcono czasu na ostatniej prezentacji podczas WWDC. Z informacji zwrotnej od Apple Johnson dowiedział się, że firma wciąż przygląda się problemowi — mimo że wcześniej zapewniano go, że wszystko zostanie załatane jeszcze wiosną. Ups?

Szczegółowe informacje na temat odnalezionego buga, wraz z pełnym kalendarium zgłoszeń znajdziecie tutaj. No cóż, pozostaje jedynie rozłożyć ręce. Teoria sobie, a praktyka sobie.