Просто открыв сайт на iPhone или MacBook, пользователи могут предоставить злоумышленникам доступ к камере и микрофону.
Плохие новости для владельцев Apple iPhone и MacBook – просто посетив сайт (необязательно вредоносный, это может быть легитимный ресурс, но с вредоносной рекламой) через браузер Safari, он может предоставить удаленному злоумышленнику доступ к камере и микрофону на своем устройстве, данным о местоположении и в некоторых случаях даже к паролям.
Уязвимость обнаружил исследователь безопасности Райан Пикрен (Ryan Pickren), который сообщил о ней и еще шести других компании Apple. За это он получил вознаграждение в размере $75 тыс. Проблемы были исправлены в несколько этапов, начиная от версии Safari 13.0.5 (выпущена 28 января 2020 года) и заканчивая версией 13.1 (выпущена 24 марта 2020 года).
Как пояснил Пикрен, для того чтобы получить доступ к камере на устройстве жертвы, злоумышленнику достаточно заманить ее на поддельный сайт, имитирующий сервис для конференцсвязи наподобие Skype или Zoom. Связка из трех обнаруженных исследователем уязвимостей позволяет злоумышленникам выдавать вредоносный сайт за легитимный и получать разрешение на доступ к микрофону и камере, предоставляемое только доверенным доменам.
Список уязвимостей:
CVE-2020-3852: Некорректное игнорирование схемы URL в процессе определения разрешений для медиафайлов сайта.
CVE-2020-3864: Контекст DOM-элемента может не иметь уникального безопасного происхождения.
CVE-2020-3865: Контекст DOM-элемента верхнего уровня может некорректно считаться безопасным.
CVE-2020-3885: Некорректная обработка URL-адреса файла.
CVE-2020-3887: Некорректная привязка источника загрузки.
CVE-2020-9784: Использование вредоносным iframe настроек загрузки другого сайта.
CVE-2020-9787: Некорректное игнорирование схемы URL, где тире (-) и точка (.) расположены рядом, в процессе определения разрешений для медиафайлов сайта.
Но доступ к знаниям открыт для всех