Apple pagou $75,000 ao pesquisador de SI Ryan Pickren nas estruturas do programa de recompensas por bugs para vulnerabilidades no Safari, devido ao qual foi possível acessar as câmeras de outra pessoa no Mac, iPhone e iPad, simplesmente direcionando uma pessoa para um site especial.
No total, Picren descobriu sete vulnerabilidades no navegador Apple e no mecanismo do navegador Webkit (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 , CVE-2020-9787), três dos quais podem ser interligados e usados para rastrear usuários por meio da câmera e do microfone de um iPhone, iPad ou Mac.
Para tal ataque, só um pouco é necessário: para a vítima entrar em um site malicioso. Nenhuma outra interação é necessária, e um site malicioso pode fingir ser um recurso legítimo popular e abusar das permissões que a vítima concederia apenas a um domínio confiável.
“Se um site malicioso precisar acessar a câmera, tudo o que precisa para se mascarar como um site confiável para videoconferência, como Skype ou Zoom”, — observa o pesquisador.
Correções para bugs encontrados pelo especialista foram divulgadas como parte do Safári 13.0.5 (lançamento datado de janeiro 28, 2020) e Safári 13.1 (lançamento datado de março 24, 2020).
Picren explica que Safari cria acesso a dispositivos que exigem permissões específicas (como câmera, microfone, localização, e assim por diante) para cada site individual. Isso permite que sites individuais, como o site oficial do Skype, acessar a câmera sem pedir permissão do usuário a cada inicialização.
No iOS, Existem exceções à esta regra: se aplicativos de terceiros precisarem do consentimento do usuário para acessar a câmera, então o Safari pode acessar a câmera ou galeria de fotos sem nenhuma permissão.
A exploração dos problemas tornou-se possível devido à forma como o navegador analisa esquemas de URL e processa as configurações de segurança de cada site. Nesse caso, o método do pesquisador funciona apenas com sites já abertos no navegador.
“O fato mais importante é que o esquema de URL é completamente ignorado,” o especialista escreve. – Isto é um problema, já que alguns esquemas não contêm nenhum nome de host significativo, por exemplo arquivo:, javascript: ou dados:. Simplesmente, o erro faz o Safari pensar que o site malicioso é realmente confiável. Isto se deve à exploração de uma série de deficiências (como o navegador analisa o URI, gerencia a origem da web e inicializa o contexto seguro).”
Na verdade, O Safari não consegue verificar se os sites aderiram às políticas da Mesma Origem, concedendo assim acesso a outro site que não deveria ter recebido permissão de forma alguma. Como resultado, o sitehttps://example.com e sua contraparte maliciosa falsa://example.com pode ter as mesmas permissões. Portanto, você pode usar arquivo: URI (por exemplo, arquivo:///caminho/para/arquivo/index.html) enganar o navegador e alterar o domínio usando JavaScript.
“O Safari acredita que estamos no skype.com e posso baixar algum tipo de JavaScript malicioso. Câmera, O microfone do compartilhamento de tela será comprometido após abrir meu arquivo HTML local”, - Ryan Pickren escreve.
Da mesma forma funciona o URL do blob: (por exemplo, bolha://skype.com) pode ser usado para executar código JavaScript arbitrário, usá-lo para acessar diretamente a webcam da vítima sem permissão.
Pior ainda, o estudo mostrou que senhas não criptografadas podem ser roubadas da mesma maneira, já que o Safari usa a mesma abordagem para detectar sites que exigem preenchimento automático de senha.
Explorações de PoC e uma demonstração dos ataques descritos estão disponíveis no site especializado blog.
Devo também lembrar-lhe que recentemente researcher remotely hacked iPhone usando apenas uma vulnerabilidade.