Dacă utilizați Apple iPhone sau MacBook, am avea o veste alarmantă pentru dumneavoastră.
Se dovedește că simpla vizită a unui site web – nu doar a site-urilor rău intenționate, dar și a celor legitime, care încarcă pe neștiute anunțuri rău intenționate – folosind browserul Safari ar putea permite atacatorilor de la distanță să acceseze pe ascunse camera foto, microfonul sau locația dispozitivului dv. și, în unele cazuri, parolele salvate.
Apple a plătit recent o recompensă de 75.000 de dolari unui hacker etic, Ryan Pickren, care a demonstrat practic cum are loc hackul respectiv și a ajutat compania să repare în total șapte noi vulnerabilități înainte ca orice atacator real să poată profita de ele.
Corecțiile au fost publicate într-o serie de actualizări ale versiunilor Safari de la 13.0.5 (lansată în 28 ianuarie 2020) la 13.1 (publicată pe 24 martie 2020).
„Dacă site-ul web dăunător dorea acces la aparatul foto, tot ce trebuia să facă era să se mascheze ca un site web de încredere de video-conferință, cum ar fi Skype sau Zoom”, a spus Pickren.
Luate împreună, trei dintre defectele Safari raportate ar fi putut permite site-urilor rău intenționate să înlocuiască orice site legitim în care o victimă are încredere și să acceseze camera sau microfonul prin abuzarea permisiunilor care au fost acordate în mod explicit de către victimă doar domeniului de încredere.
Un lanț de exploit-uri pentru a abuza de permisiunile de pe fiecare site accesat prin Safari
Browserul Safari acordă acces la anumite permisiuni, cum ar fi aparatul foto, microfonul, locația și multe altele per website. Acest lucru ușurează munca site-urilor web individuale, spune Skype, să acceseze camera fără a cere permisiunea utilizatorului de fiecare dată când este lansată aplicația.
Dar există și excepții de la această regulă pe iOS. În timp ce aplicațiile terțe trebuie să ceară consimțământul explicit utilizatorului pentru a accesa camera, Safari poate accesa camera sau galeria foto fără nicio solicitare de permisiune.
Mai exact, accesul necorespunzător se poate face prin utilizarea unui lanț de exploit-uri care combină mai multe defecte în modul în care browserul parsează schemele URL și gestionează setările de securitate pe fiecare site web în parte. Această metodă funcționează numai cu site-urile web deschise în browser.
„O observație mai importantă a fost că schema adresei URL este complet ignorată”, a menționat Pickren. „Acest lucru este problematic, deoarece unele scheme nu conțin deloc un nume de gazdă semnificativ, cum ar fi fișierul:, javascript:, sau date:.”
Altfel spus, Safari nu a reușit să verifice dacă site-urile web au respectat politica de aceeași origine, permițând astfel accesul la un alt site care nu ar fi trebuit să obțină permisiunile de la bun început. Drept urmare, un site web precum „https://exemplu.com” și omologul său malițios „fals://exemplu.com” ar putea ajunge să aibă aceleași permisiuni.
Astfel, profitând de parsarea leneșă pe care o realizează Safari numelui de gazdă, puteați folosi un URI „fișier:” (de exemplu, fișier: ///cale/către/fișier/index.html) pentru a păcăli browserul în schimbarea numelui de domeniu folosind JavaScript.
„Safari crede că suntem pe skype.com și pot încărca ceva JavaScript rău. Camera, Microfonul și Partajarea Ecranului sunt compromise atunci când deschizi fișierul meu HTML local”, a spus Pickren.
Cercetările au descoperit că chiar și parolele în format de text pot fi furate în acest fel, deoarece Safari folosește aceeași abordare pentru a detecta site-urile web pe care trebuie autocompletată parola.
Mai mult, prevenirile de descărcare automată pot fi ocolite prin deschiderea mai întâi a unui site de încredere ca pop-up, iar ulterior folosirea acestuia pentru a descărca un fișier rău intenționat.
De asemenea, un URI „blob:” (de ex. blob://skype.com) poate fi exploatat pentru a rula cod JavaScript arbitrar, utilizându-l pentru a accesa direct camera web fără permisiunea victimei.
În total, cercetarea a descoperit șapte vulnerabilități zero-day diferite în Safari:
- CVE-2020-3852: O schemă URL poate fi ignorată incorect la determinarea permisiunii multimedia pentru un site web;
- CVE-2020-3864: Este posibil ca un obiect context DOM să nu fi avut o origine unică de securitate;
- CVE-2020-3865: Un obiect context DOM de nivel superior poate fi considerat sigur incorect;
- CVE-2020-3885: URL-ul fișierului poate fi procesat incorect;
- CVE-2020-3887: Originea unei descărcări poate fi asociată incorect;
- CVE-2020-9784: Un iframe rău intenționat poate folosi setările de descărcare ale altui site web;
- CVE-2020-9787: O schemă URL care conține liniuță (-) și punct (.) adiacente între ele este ignorată incorect atunci când se stabilește permisiunea multimedia pentru un site web.
Dacă sunteți utilizator Safari, vă recomandăm să păstrați browserul la zi și să vă asigurați că site-urilor web le sunt acordate accesul doar acelor setări esențiale pentru funcționarea lor.