Хакеры могут незаметно получать доступ ко всем данным на macOS через Safari
На профильном русскоязычном ресурсе xakep.ru специалист по информационной безопасности Bo0oM
Основная уязвимость, позволяющая совершить атаку, заключается в особенности выполнения JavaScript для HTML-документов в Safari. Конкретно, речь идет объекте XMLHttpRequest (XHR), который дает возможность из JavaScript делать HTTP-запросы к серверу без перезагрузки страницы. Несмотря на XML в названии, объект позволяет работать с любыми данными: читать содержимое файла и отправлять на указанный сервер.
Safari, как и другие браузеры, по умолчанию не позволяет выполнять XHR-запросы к файлам на жестком диске. Однако, у браузера Apple есть отличительная особенность: если HTML-документ уже сам сохранен на компьютере, такой стандартный запрос можно выполнить к любому локальному файлу. Так хакеры смогут получить содержимое файлов, хранящих SSH-ключи; историю команд, введенных в терминале; куки; информацию о аккаунтах в системе; историю сообщений в мессенджерах и, в принципе, любую информацию.
В качестве способа доставки вредоносного HTML-файла исследователь предложил использовать клиент Telegram для macOS, который не маркирует происхождение переданных через него файлов (флаг Where from). Но в материале отмечается, что таким могут грешить и многие другие приложения. В конце концов, хакеры могут просто подбросить жертве флешку с вредоносным файлом.
Фактически, защититься от этого можно только полностью отказавшись от использования Safari. Однако, файлы с расширениями XHTM и webarchive открываются только в браузере Apple и позволяют выполнять JavaScript.