Potreste aver già condiviso con altri la vostra cronologia web di Safari, più di una volta, e magari senza neppure accorgervene. In iOS 13 e macOS Catalina è presente una falla di sicurezza che permette di allegare un file contenente queste informazioni sensibili semplicemente condividendo con uno o più utenti un qualsiasi documento, anche soltanto un’immagine, attraverso i link presenti sul web.
Lo spiega il blog Redteam.Pl, specializzato in sicurezza informatica, in un post corredato da immagini esemplificative. In pratica è sufficiente che un malintenzionato implementi un pulsante modificato con l’API Safari Web Share e a quel punto è potenzialmente in grado di farsi inviare i file del sistema operativo interno che di norma non sono accessibili.
Per chi non lo sapesse, questa API consente ad applicazioni e siti web di offrire quello che nel gergo tecnico viene chiamato “Share Sheet”, ovvero il pannello con cui iPhone, iPad e Mac raccolgono le icone delle app utilizzate per poter condividere facilmente i contenuti web con altre persone tramite Mail, Messaggi e così via.
Si è scoperto che, per qualche motivo sconosciuto, chiunque può facilmente aggiungere questa API ad una pagina web includendovi un codice per far sì che venga richiesto l’invio di file interni contenenti informazioni sensibili. Nell’esempio che riporta il blog è stato creato un pulsante di condivisione che rimanda al file History.db presente nel sistema operativo e che contiene l’intera cronologia di navigazione dell’utente su Safari.
In condizioni normali questo file dovrebbe essere inaccessibile perfino al proprietario del dispositivo, ma con questo sistema l’API Web Share può leggerlo e inviarlo tramite altre applicazioni. Una volta condiviso, per aprirlo basta utilizzare una qualsiasi applicazione in grado di gestire i database SQLite.
Si tratta di una violazione di sicurezza che può essere facilmente riconosciuta da chi ha una conoscenza basilare del codice HTML visto che il file acquisito non viene inviato automaticamente ad altre persone. Semplicemente, grazie ad uno stratagemma visivo, il file allegato ad esempio tramite posta elettronica, viene posizionato molto in basso, quindi durante la digitazione del messaggio a qualcuno potrebbe sfuggire. Il problema è più che altro correlato al fenomeno del clickjacking, ovvero quella tecnica informatica fraudolenta utilizzata per reindirizzare il clic dell’utente su un altro oggetto per i più svariati motivi che vanno dal semplice invio di spam al download di un file, fino all’ordinare prodotti da siti di e-commerce. O, come in questo caso, alla condivisione di informazioni sensibili non autorizzate.
Il blog ha notificato Apple del problema lo scorso aprile e, secondo quanto riferisce 9to5Mac, sebbene non abbia ufficialmente annunciato la risoluzione di questo bug, sembrerebbe essere stato risolto in iOS 14 e macOS Big Sur in quanto sulle attuali versioni beta del sistema operativo non sembra possibile replicare la stessa problematica.
