安全研究人员pawelwylecial昨日公开披露了一个Safari漏洞,该漏洞可能会说服用户将系统中的任何文件秘密发送给收件人。
虽然Wylecial本人说,这个bug“并不严重”,但它仍然需要一个人手动做些事情,以便错误地将文件从自己的系统发送到另一个人,包括输入收件人——“这很容易让共享文件不被用户看到。最接近的比较是点击顶升,因为我们试图说服不知情的用户执行一些操作。”
它的工作原理很简单。Safari的Web共享API支持文件://URI方案。因此,您可以将链接合并到用户计算机上的文件的链接,该链接位于用户将使用的相同站点按钮中,否则用户将使用该按钮共享他们通过第三方应用程序查看的内容。
例如,点击这个按钮:
通过macOS邮件应用程序共享这张图片,会产生一个相当天真的信息——“看看这个可爱的小猫吧!”-这还包括Mac的“passwd”文件,因为按钮还包含站点源代码中的变量“file:///etc/passwd”:
如果你注意到了,你会注意到邮件中的附件,可能会提出疑问和/或快速删除,但如果你没有注意到,那么,你只会发送一个不想发送给收件人的文件。我完全可以看到一个网站滥用这一功能,鼓励用户分享内容到某个无所不包的收件箱中。
再说一次,如果你精通技术,你可能不会上当受骗,但那些不懂技术的人可能会上当受骗,尤其是当你使用其他应用程序创建消息时,很难知道你实际上在共享什么文件。正如Wylecial所写,例如,Gmail应用程序会把文件名搞得一团糟,以至于你甚至不知道自己在共享密码文件(继续这个例子)。
Wylecial在2020年4月向苹果披露了这个漏洞。苹果公司终于在7月份回复说,他们正在调查这个问题,并在8月份澄清说,他们将在定于2021年春季进行的安全更新中对此进行修补。
... 你可以使用的许多iOS小技巧之一是,离开Mac上的Safari浏览会话,然后关闭iPhone上打开的浏览器选项卡。 ...
...网公民,有时你需要收集关于某个特定主题的大量信息。这个过程通常从一个Google搜索页面开始,到多个标签页结束,可能分布在多个窗口,有用的信息片段分散在不同的网页上。 ...
...项功能Handoff可以与各种应用程序配合使用,包括邮件、Safari、提醒和页面。 ...
...ows那样工作,你可能必须先适应苹果的怪癖,然后才能对这个系统感到完全的自在。 ...
...快捷键。 私人浏览模式现在已启用,您在这个新打开的窗口中打开的所有选项卡都将保持私人状态。 您可以关闭窗口退出私人浏览模式。 ...
...,最好定期清除浏览历史记录。Mac上的Safari可以帮你解决这个问题,并每隔一段时间自动擦除你的历史记录。下面是如何设置它。 从启动板或在聚光灯下查看,在Mac上启动Safari。 接下来,单击菜单栏左角的“Safari”并选择“首...
...诉Safari显示我们刚刚创建的收藏夹的空文件夹。当它显示这个空文件夹时,不会显示收藏夹,Safari将生成一个真正的空白页。 为此,请打开“设置”并导航到“Safari” 在“常规”部分,单击“收藏夹” 在弹出的列表中,选择...
...读列表功能,不如尝试以下无缝方法在Apple设备之间移动Safari选项卡。 使用切换移动safari选项卡 切换是苹果的一项功能,可以将任务从一个苹果设备无缝地移动到另一个苹果设备。它适用于许多应用程序,包括Safari。 首先,确...
...问的网站。如果您在收藏夹部分已经有了这些网站,那么这个新功能是多余的。出于隐私原因,您可能也不希望Safari显示这些网站。 您可以在此部分中隐藏网站,也可以完全禁用整个经常访问的部分。 禁用iphone和ipad上经常访...
...暗模式选项。你可以通过夜猫子应用程序按计划自动启用这个功能,这样黑暗模式就可以在晚上自动打开,白天自动关闭。 苹果的黑暗主题已经非常全面,不像windows10的不完全黑暗模式,似乎影响了包括Finder在内的所有应用程...