Safari藏漏洞使iPhone及Mac用戶陷點擊詐騙風險，但蘋果計畫2021年初才要補

研究人員發現Safari有資料外洩漏洞可能導致駭客竊取iOS及Mac裝置檔案，不過4月通報後，蘋果卻計畫2021年春天才會修補。

這項漏洞是由波蘭安全公司REDTEAM創辦人Pawel Wylecial發現，存在Safari的Web Share API中。Safari Web Share API允許使用者經由第三方App（包括蘋果自己或第三方郵件和通訊App）分享連結、檔案、文字或其他內容。利用file:語法即可將用戶裝置上的檔案分享出去。

但當某個外部網站指向這個file:連結，就會出問題。Wylecial解釋，此時連結會被傳送到Safari的navigator.share函式，就會把使用者裝置上檔案系統的某個檔案加入到郵件或對話訊息中而傳送出去，導致本機檔案外洩。

原本問題並不大，因為這需要使用者有傳送連結的動作，但是在某些情況下，使用者會看不到被分享的檔案，例如使用macOS及iOS版Mail App時。研究人員舉例，當駭客發動點擊詐騙，在惡意網站上以可愛的動物圖片或文章，邀請使用者分享給他人，並加入以郵件或訊息App分享的選項。使用者以為他分享的是動物相片，但其實駭客要使用者分享的是/etc/passwd的本機檔案。

使用時macOS及iOS版Mail App會發生用戶看不到分享出去的檔案。在macOS版本中，用戶若不將滑鼠拉到最下方，看不到包含密碼的附檔。在iOS版本中，使用者更只會看到沒有檔名的附檔。iOS版的Gmail App則會顯示被混淆（obfsucated）檔名的檔案。

唯一例外是iOS版Message App，細心一點的用戶會看到密碼檔案被附加上在訊息中。

研究人員僅列出他測試過的問題版本，包括iOS (13.4.1, 13.6)和macOS Mojave 10.14.16 的Safari 13.1 (14609.1.20.111.8) ，以及macOS Catalina 10.15.5上的Safari 13.1.1 (15609.2.9.1.2)。

Wylecial於今年4月中通報蘋果這項漏洞，蘋果也說會調查。不過之後就沒有下文，直到7月研究人員揚言要公布漏洞，蘋果才有所回應。蘋果8月中要求他延遲公布，表示會在2021年春天修補。由於研究人員認為蘋果態度輕忽，且一個漏洞要等快1年才修補過於離譜，於是拒絕這個要求，並於本周公布漏洞細節。