Eine Schwachstelle in der Webkit-Engine, die als Basis für Apples Safari-Browser auf Mac, iPhone und iPad sowie für alle andern Browser für iOS und iPadOS dient, ist ein potenzielles Einfallstor für Angreifer, die auf lokale Dateien abzielen. Konkret geht es um die Implementation der Web Share API, die bei Webkit zusätzlich zum Teilen von Webinhalten via Apps auch den Zugriff auf lokale Dateien gemäss dem URL-Schema file:// ermöglicht. Manipulierte Webseiten können auf diese Weise beim Teilen von Inhalten wie Bildern weitere Dateien anhängen, die auf dem Zielgerät gespeichert sind.
Der Sicherheitsforscher Pawel Wylecial vom Tech-Blog Redteam.pl hat dazu zwei Proofs-of-Concept erstellt und
publiziert. Zwar benötigt die Ausführung eines Angriffs eine Interaktion des Nutzers – er muss ja explizit etwas teilen. Aber die heimlich angehängte zusätzliche Datei ist einfach zu verstecken, sodass der Nutzer oft nichts davon merkt. So wird der Anhang zum Beispiel in der Mail-App für iOS erst sichtbar, wenn man ganz bis zum Ende scrollt, und in der Messages-App für MacOS erscheint zwar neben dem Link zum geteilten Bild ein Dateisymbol, jedoch ohne Dateiname.
Wylecial hat das Leck im April 2020 an
Apple gemeldet. Erst im August hat Apple dann nach mehrfachem Nachfassen reagiert und gebeten, er solle die Details doch bitte noch nicht veröffentlichen. Ein Fix sei erst auf den Frühling 2021 vorgesehen.
(ubi)