這個safari bug如何暴露mac或iphone上的檔案
安全研究人員pawelwylecial昨日公開披露了一個Safari漏洞,該漏洞可能會說服使用者將系統中的任何檔案祕密傳送給收件人。
雖然Wylecial本人說,這個bug“並不嚴重”,但它仍然需要一個人手動做些事情,以便錯誤地將檔案從自己的系統傳送到另一個人,包括輸入收件人——“這很容易讓共享檔案不被使用者看到。最接近的比較是點選頂升,因為我們試圖說服不知情的使用者執行一些操作。”
它的工作原理很簡單。Safari的Web共享API支援檔案://URI方案。因此,您可以將鏈接合併到使用者計算機上的檔案的連結,該連結位於使用者將使用的相同站點按鈕中,否則使用者將使用該按鈕共享他們透過第三方應用程式檢視的內容。
例如,點選這個按鈕:
透過macOS郵件應用程式共享這張圖片,會產生一個相當天真的資訊——“看看這個可愛的小貓吧!”-這還包括Mac的“passwd”檔案,因為按鈕還包含站點原始碼中的變數“file:///etc/passwd”:
如果你註意到了,你會註意到郵件中的附件,可能會提出疑問和/或快速刪除,但如果你沒有註意到,那麼,你只會傳送一個不想傳送給收件人的檔案。我完全可以看到一個網站濫用這一功能,鼓勵使用者分享內容到某個無所不包的收件箱中。
再說一次,如果你精通技術,你可能不會上當受騙,但那些不懂技術的人可能會上當受騙,尤其是當你使用其他應用程式建立訊息時,很難知道你實際上在共享什麼檔案。正如Wylecial所寫,例如,Gmail應用程式會把檔名搞得一團糟,以至於你甚至不知道自己在共享密碼檔案(繼續這個例子)。
Wylecial在2020年4月向蘋果披露了這個漏洞。蘋果公司終於在7月份回覆說,他們正在調查這個問題,併在8月份澄清說,他們將在定於2021年春季進行的安全更新中對此進行修補。
- 發表於 2021-05-12 14:07
- 閱讀 ( 52 )
- 分類:安全
你可能感興趣的文章
如何清除safari瀏覽歷史和資料
...不同瀏覽器中的瀏覽歷史記錄。今天,我們將介紹如何在SafariforMac中管理您的瀏覽歷史和其他瀏覽資料。 ...
回答了20個常見的macos操作問題
...他蘋果產品一樣,都有一個唯一的識別號或序列號。找到這個號碼最簡單的方法是點選選單欄左上角的蘋果圖示,然後點選顯示的About this Mac選單項。 ...
如何使用apple notes作為研究工具
...路公民,有時你需要收集關於某個特定主題的大量資訊。這個過程通常從一個Google搜尋頁面開始,到多個標籤頁結束,可能分佈在多個視窗,有用的資訊片段分散在不同的網頁上。 ...
如何下載完整的網頁進行離線閱讀
... 4mac上的safari閱讀列表 ...
一起使用mac和iphone的10種簡便方法
...項功能Handoff可以與各種應用程式配合使用,包括郵件、Safari、提醒和頁面。 ...
mac相當於預設的windows軟體
...料夾,其中包含一個名為Activity Monitor的應用程式。(把這個資料夾放在手邊,因為裡面有很多有用的東西。) ...
適用於新macos使用者的10個簡單mac例程
...ows那樣工作,你可能必須先適應蘋果的怪癖,然後才能對這個系統感到完全的自在。 ...
如何在mac上的safari中自動擦除瀏覽歷史記錄
...,最好定期清除瀏覽歷史記錄。Mac上的Safari可以幫你解決這個問題,並每隔一段時間自動擦除你的歷史記錄。下面是如何設定它。 從啟動板或在聚光燈下檢視,在Mac上啟動Safari。 接下來,單擊選單欄左角的“Safari”並選擇“首...
如何在iphone或ipad上查詢下載的檔案
...資料夾中,所以點選它。 相關:如何在iPhone或iPad上使用Safari下載檔案 您將看到您下載的所有檔案的列表。在下載過程中,您可以將檔案儲存到“Downloads”以外的資料夾中。如果您沒有看到要查詢的檔案,請單擊左上角的後退...
macos catalina的新安全功能如何工作
...錄製限制阻止應用程式未經允許錄製螢幕上的任何內容。這個限制會影響像蘋果自己的QuickTime播放器這樣的應用程式,提示您“開啟系統首選項”,單擊鎖來授權更改,然後手動授予許可權。 在Safari中,還將要求您允許或拒絕...
