iphone, macbook

Simpla vizită a unui site poate hackui camera iPhone-ului

Dacă utilizați Apple iPhone sau MacBook, am avea o veste alarmantă pentru dumneavoastră.

Se dovedește că simpla vizită a unui site web – nu doar a site-urilor rău intenționate, dar și a celor legitime, care încarcă pe neștiute anunțuri rău intenționate – folosind browserul Safari ar putea permite atacatorilor de la distanță să acceseze pe ascunse camera foto, microfonul sau locația dispozitivului dv. și, în unele cazuri, parolele salvate.

Apple a plătit recent o recompensă de 75.000 de dolari unui hacker etic, Ryan Pickren, care a demonstrat practic cum are loc hackul respectiv și a ajutat compania să repare în total șapte noi vulnerabilități înainte ca orice atacator real să poată profita de ele.

Corecțiile au fost publicate într-o serie de actualizări ale versiunilor Safari de la 13.0.5 (lansată în 28 ianuarie 2020) la 13.1 (publicată pe 24 martie 2020).

„Dacă site-ul web dăunător dorea acces la aparatul foto, tot ce trebuia să facă era să se mascheze ca un site web de încredere de video-conferință, cum ar fi Skype sau Zoom”, a spus Pickren.

Luate împreună, trei dintre defectele Safari raportate ar fi putut permite site-urilor rău intenționate să înlocuiască orice site legitim în care o victimă are încredere și să acceseze camera sau microfonul prin abuzarea permisiunilor care au fost acordate în mod explicit de către victimă doar domeniului de încredere.

Un lanț de exploit-uri pentru a abuza de permisiunile de pe fiecare site accesat prin Safari

Browserul Safari acordă acces la anumite permisiuni, cum ar fi aparatul foto, microfonul, locația și multe altele per website. Acest lucru ușurează munca site-urilor web individuale, spune Skype, să acceseze camera fără a cere permisiunea utilizatorului de fiecare dată când este lansată aplicația.

Dar există și excepții de la această regulă pe iOS. În timp ce aplicațiile terțe trebuie să ceară consimțământul explicit utilizatorului pentru a accesa camera, Safari poate accesa camera sau galeria foto fără nicio solicitare de permisiune.

Mai exact, accesul necorespunzător se poate face prin utilizarea unui lanț de exploit-uri care combină mai multe defecte în modul în care browserul parsează schemele URL și gestionează setările de securitate pe fiecare site web în parte. Această metodă funcționează numai cu site-urile web deschise în browser.

iphone, macbook

„O observație mai importantă a fost că schema adresei URL este complet ignorată”, a menționat Pickren. „Acest lucru este problematic, deoarece unele scheme nu conțin deloc un nume de gazdă semnificativ, cum ar fi fișierul:, javascript:, sau date:.”

Altfel spus, Safari nu a reușit să verifice dacă site-urile web au respectat politica de aceeași origine, permițând astfel accesul la un alt site care nu ar fi trebuit să obțină permisiunile de la bun început. Drept urmare, un site web precum „https://exemplu.com” și omologul său malițios „fals://exemplu.com” ar putea ajunge să aibă aceleași permisiuni.

Astfel, profitând de parsarea leneșă pe care o realizează Safari numelui de gazdă, puteați folosi un URI „fișier:” (de exemplu, fișier: ///cale/către/fișier/index.html) pentru a păcăli browserul în schimbarea numelui de domeniu folosind JavaScript.

„Safari crede că suntem pe skype.com și pot încărca ceva JavaScript rău. Camera, Microfonul și Partajarea Ecranului sunt compromise atunci când deschizi fișierul meu HTML local”, a spus Pickren.

Cercetările au descoperit că chiar și parolele în format de text pot fi furate în acest fel, deoarece Safari folosește aceeași abordare pentru a detecta site-urile web pe care trebuie autocompletată parola.

Mai mult, prevenirile de descărcare automată pot fi ocolite prin deschiderea mai întâi a unui site de încredere ca pop-up, iar ulterior folosirea acestuia pentru a descărca un fișier rău intenționat.

De asemenea, un URI „blob:” (de ex. blob://skype.com) poate fi exploatat pentru a rula cod JavaScript arbitrar, utilizându-l pentru a accesa direct camera web fără permisiunea victimei.

În total, cercetarea a descoperit șapte vulnerabilități zero-day diferite în Safari:

  • CVE-2020-3852: O schemă URL poate fi ignorată incorect la determinarea permisiunii multimedia pentru un site web;
  • CVE-2020-3864: Este posibil ca un obiect context DOM să nu fi avut o origine unică de securitate;
  • CVE-2020-3865: Un obiect context DOM de nivel superior poate fi considerat sigur incorect;
  • CVE-2020-3885: URL-ul fișierului poate fi procesat incorect;
  • CVE-2020-3887: Originea unei descărcări poate fi asociată incorect;
  • CVE-2020-9784: Un iframe rău intenționat poate folosi setările de descărcare ale altui site web;
  • CVE-2020-9787: O schemă URL care conține liniuță (-) și punct (.) adiacente între ele este ignorată incorect atunci când se stabilește permisiunea multimedia pentru un site web.

Dacă sunteți utilizator Safari, vă recomandăm să păstrați browserul la zi și să vă asigurați că site-urilor web le sunt acordate accesul doar acelor setări esențiale pentru funcționarea lor.

Patrick
Acum 15 ani îmi căutam locul în lumea profesionala. Am căutat să îmi aleg un domeniu care să-mi placă, să mă caracterizeze și am început să tatonez mai multe terenuri, printre care și geografia turistică. În scurt timp am renunțat la studiul geografiei turistice din motive personale și familiale pentru un job în IT, care începea să devină la modă pe atunci. Astfel că am început lucrul la o companie de furnizare servicii de internet care a început în cartierul în care locuiam și în câțiva ani s-a extins. Pe atunci aveam un PC cu procesor AMD low-end (chiar și pentru vremea aceea) cu care am început să învăț software: programare, design grafic (începusem pasiunea pentru Adobe Photoshop cu care astazi am avansat la post-procesare fotografii și pictură digitală, ilustrație etc.), dintre care și web design, domeniu în care am început, pe atunci, destul de timid și cu multe greșeli. În timp, mi-am construit un portfoliu de lucrări, am câștigat câțiva clienți, iar apoi, după câțiva ani mi-a crescut reputația odată cu avansarea în tehnologie, pentru ca recent să-mi înființez Studiourile Cydrone, o companie-studio de creație digitală. Am trecut de la HTML4, XHTML, la HTML5 si CSS3, apoi la CMS web developing. Nu am ratat nici domeniul bloggingului și mi-am pornit primul meu blog pe blogspot.com, apoi am trecut la domeniu propriu. Astăzi scriu pe diverse platforme, în primul rând pe cea personala, pe care am transformat-o într-o academie online (Cydrone Archetypal Academy) în care abordez teme avansate precum matematica de modelare (vă aduceți aminte că am început cu programarea? Nu degeaba…), geometrie sacră, fractali, modele numerologice de succes, stil de viață sănătos și conștient, afaceri de succes, antreprenoriat, dezvoltare personala, educație financiară, iar în al doilea rând am fondat Revista România Culturală, o platforma online în care promovez cultura română din toate timpurile (căreia îi sunt pe vecie recunoscător). Alte platforme pe care mai scriu sunt androidinfo.ro (știri și recenzii în tehnologie mobile și nu numai), infotimes.ro (știri generale), dar și pe medium.com, linkedin.com etc.
%d blogeri au apreciat: