Відвідування шкідливих сайтів дає хакерам доступ до камер iPhone та MacBook

Якщо Ви використовуєте iPhone або MacBook, то  для Вас є тривожна новина. Виявляється, що лише через відвідування веб-сайтів – не лише шкідливих, але й законних сайтів, а також через фонове завантаження шкідливої реклами – експлойт у браузері Safari може дозволити віддаленим зловмисникам таємно отримувати доступ до камери, мікрофона чи місцезнаходження вашого пристрою, а в деяких випадках і збережених паролів. Про це пише The Hacker News.

Нещодавно Apple виплатила винагороду в розмірі 75 000 доларів “білому” хакеру Райану Пікрену, який продемонстрував на практиці цей експлойт і допоміг компанії виправити сім нових уразливостей, перш ніж будь-який реальний зловмисник міг ними скористатися. Виправлення були включені у серію оновлень, що охоплюють Safari до версій 13.0.5, (випущена 28 січня 2020 року) та Safari 13.1 ( 24 березня 2020 року).

“Якщо шкідливий веб-сайт хотів отримати доступ до камери, все, що він повинен був зробити, це маскуватися під надійний веб-сайт для відеоконференцій, такий як Skype або Zoom”, – сказав Пікрен.

Вищезгадані три недоліки Safari, якщо вони проявлялися одночасно, могли дозволити зловмисним веб-сайтам видавати себе за законний сайт, якому жертва довіряє, та отримати доступ до камери або мікрофона, зловживаючи дозволами, які в іншому випадку явно надаються жертвою лише довіреному домену.

Веб-переглядач Safari надає доступ сайтам до певних дозволів на доступ до приватних даних та засобів вводу –  таких, як камера, мікрофон, місцезнаходження та багато іншого. Це полегшує доступ до камери для окремих веб-сайтів, скажімо, через Skype, не вимагаючи дозволу користувача кожного разу, коли програма запускається.

Але є винятки з цього правила на iOS. Хоча сторонні програми повинні вимагати явної згоди користувача на доступ до камери, Safari може отримати доступ до камери чи фотогалереї без будь-яких підказок дозволу. Зокрема, цей доступ стає можливим завдяки використанню ланцюга експлуатації, який поєднує в собі декілька недоліків у тому, як браузер читає схеми URL-адрес та обробляє налаштування безпеки на веб-сайті. Цей метод працює лише з веб-сайтами, які зараз відкриті у браузері.

“Більш важливим спостереженням було те, що схема URL-адреси повністю ігнорується”, – зазначив Пікрен. “Це проблематично, оскільки деякі схеми взагалі не містять значущого імені хоста, такого як файл :, javascript :, або data:.”

Інакше кажучи, Safari не зміг перевірити, чи дотримуються веб-сайти політики однакового походження, тим самим надаючи доступ до іншого веб-сайту, який не повинен був отримувати дозволи в першу чергу. Як результат, веб-сайт на зразок “https://example.com” та його шкідливий аналог “fake: //example.com” можуть мати однакові дозволи.

Таким чином, скориставшись  цим неправильним читанням імені хоста Safari, можна було використовувати URL “файл:” (наприклад, файл: ///path/to/file/index.html), щоб примусити браузер змінювати доменне ім’я за допомогою JavaScript.

“Safari вважає, що ми знаходимось на skype.com. Я можу завантажити деякий шкідливий код на JavaScript. Камера, мікрофон та спільний доступ до екрана – все це буде перехоплене мною, коли ви відкриєте мій локальний файл HTML”, – сказав Пікрен.

Дослідження показало, що навіть паролі у форматі простого тексту можуть бути викрадені таким чином, оскільки Safari використовує той самий підхід для виявлення веб-сайтів, на яких потрібно застосувати автоматичне заповнення паролів. Крім того, запобігання автоматичному завантаженню можна обійти, попередньо відкривши надійний сайт як спливаюче вікно, а згодом використовуючи його для завантаження шкідливого файлу.

Так само URI “blob:” (наприклад, blob: //skype.com) можна використовувати для запуску довільного коду JavaScript, використовуючи його для прямого доступу до веб-камери жертви без дозволу.

Загалом, дослідження виявило сім різних вразливостей “нульових днів” у Safari:

• CVE-2020-3852: схема URL може бути неправильно ігнорована під час визначення мультимедійного дозволу для веб-сайту;
• CVE-2020-3864: контекст об’єкта DOM, можливо, не мав унікального джерела безпеки;
• CVE-2020-3865: контекст об’єкта DOM верхнього рівня, можливо, неправильно вважався безпечним;
• CVE-2020-3885: URL-адреса файлу може бути неправильно оброблена;
• CVE-2020-3887: походження завантаження може бути пов’язано неправильно;
• CVE-2020-9784: шкідливий фрейм може використовувати параметри завантаження іншого веб-сайту;
• CVE-2020-9787: схема URL, що містить тире (-) та період (.), що примикають один до одного, неправильно ігнорується під час визначення мультимедійного дозволу для веб-сайту.

Якщо ви користуєтесь Safari, рекомендується постійно оновлювати веб-переглядач і гарантувати, що веб-сайтам надається доступ лише до тих параметрів, які необхідні для їх роботи.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме: