API( Application Programming Interface )的應用現時非常普及,一個網站就使用了不少API。不過,如果在使用API時設定出現漏洞,就可造成無法挽回的損失,例如可讓訪客讀取數據庫內的原本應該無法接觸的機密資料。早前Safari瀏覽器內的 Web Share API ,就被網絡安全專家發現可暗中將網民電腦或手機內的檔案送出,Apple在得知漏洞後,竟然計劃在明年初才作出修補,罔顧用家的私隱外洩風險。
Web Share API是一種讓網民分享網站內容的功能,而在Safari的設定中,可讓用家分享電腦或手機內的檔案(file://URI scheme),所以只要黑客掌握到機密檔案的儲存位置,就可透過設定參數(parameter),暗中將目標檔案分享出來。發現這個漏洞的是網絡安全公司REDTEAM.PL的聯合創辦人Pawel Wylecial,他在網誌內將整個攻擊過程詳細列出,更提供一個模擬連結,只要Safari用家點擊這條連結,就會去到一個貼有小貓圖片及呼籲訪客分享的版面,如訪客點擊分享,就可揀選使用電郵或Messages等應用程式執行分享。表面上,這個動作只將小貓圖片分享出去,但實際上卻同時將電腦或手機內的密碼儲存檔同時發送。
專家分別在MacOS及iOS作業系統上測試,出現的結果各有分別,首先在MacOS的電郵應用程式上分享,必須捲動畫面到底部才會發現密碼檔附件,而Messages應用程式更未有顯示附件名稱,用家一不留神便會被暗中偷取檔案。iOS上使用電郵分享,情況與MacOS上相若,不過如以Messages分享,則明顯見到有一個密碼檔案附件,用家應用即時發現。
這個漏洞早於今年四月中通知Apple,Apple經調查後,於八月中回覆Pawel確認漏洞存在,但由於計劃在明年初才修補,所以希望Pawel暫時不要公開漏洞。不過,Pawel認為相關資訊早在四月中已通報,修補所需時間實在太長,於是選擇即時公開,逼使Apple盡快執行修補行動。據知現時漏洞仍然存在,所以Safari的MacOS及iOS用家,最快不要使用網站上的分享功能,才可減少被盜竊檔案的風險。
