如果您使用Apple iPhone或MacBook,这里有个令人震惊的新闻。
事实证明,使用Safari浏览器访问的有的网站是不合法的恶意网站,它们都可能使远程攻击者秘密访问您设备的摄像头,麦克风或位置,并且在某些情况下还保存了密码。
![]()
苹果公司最近向一名白客Ryan Pickren颁发了75,000美元的赏金,他实际上证明了这种黑客行为,并帮助该公司修补了总共七个新漏洞,然后任何真正的攻击者都可以利用它们。
该修复程序是对Safari的一系列更新发布的,这些更新跨越了13.0.5版—2020年1月28日发布和Safari 13.1—发布于2020年3月24日。
皮克伦说:“如果恶意网站想要摄像头访问,它要做的就是伪装成可信任的视频会议网站,例如Skype或Zoom。”
当链接在一起时,三个已报告的Safari漏洞可能允许恶意站点冒充受害人信任的任何合法站点,并通过滥用被害人仅明确授予受信任域的权限来冒充受害人的摄像头或麦克风。
滥用Safari的逐站点权限的漏洞利用链
Safari浏览器基于每个网站授予访问某些权限的权限,例如相机,麦克风,位置等。Skype的功能使各个网站都易于访问相机,而无需在每次启动该应用程序时都征求用户的许可。
![]()
但是在iOS上,此规则也有例外。虽然第三方应用程序必须征得用户的明确同意才能访问相机,但Safari可以访问相机或相册而无需任何权限提示。
具体来说,通过利用利用链接将浏览器URL进行解析,并将每个网站处理安全设置的方式中的缺陷串在一起,就可以进行不正确的访问。此方法仅适用于当前打开的网站。
![]()
![]()
![]()
![]()
示例图,来源thehackernews
Pickren指出:“一个更重要的发现是URL的方案被完全忽略了。” “这是有问题的,因为某些方案根本不包含有意义的主机名,例如file:,javascript:或data:”
换句话说,Safari无法检查网站是否遵循同源规则,却授予以不应获得其他网站的权限。结果,诸如“ https://example.com”之类的网站及其恶意副本“ fake://example.com”可能最终具有相同的权限。
皮克伦说:“ Safari认为我们在skype.com上,我可以加载到一些被黑客改写的JavaScript。打开本地HTML文件时,相机,麦克风和屏幕共享都会受到损害。”
研究发现,即使纯文本密码也可以通过这种方式被盗,因为Safari使用相同的方法来检测需要自动填充密码的网站。
此外,可以通过以下方法绕过自动下载预防措施:首先打开一个受信任的站点作为弹出窗口,然后使用它来下载文件。
这项研究总共发现了Safari中的七个不同的零日漏洞:
- CVE-2020-3852:确定网站的多媒体权限时,可能会错误地忽略URL方案
- CVE-2020-3864:DOM对象上下文可能没有唯一的安全来源
- CVE-2020-3865:顶级DOM对象上下文可能被错误地认为是安全的
- CVE-2020-3885:文件URL可能未正确处理
- CVE-2020-3887:下载的来源可能未正确关联
- CVE-2020-9784:恶意iframe可能会使用其他网站的下载设置
- CVE-2020-9787:确定网站的多媒体权限时,错误地忽略了包含短划线-和.的URL方案
如果您是Safari用户,建议您使浏览器保持最新状态,并确保仅授予网站访问权限以使其正常运行。
【责任编辑:
赵宁宁 TEL:(010)68476606】
