Blog by Root View

Encontrá todas las novedades sobre la ciberseguridad, infraestructura y desarrollo.

Cómo solo visitar un sitio podrían haber hacheado tu cámara en iPhone o MacBook

Resulta simplemente visitar un sitio web, no solo sitios maliciosos sino también legítimos que también cargan anuncios maliciosos sin saberlo, el uso del navegador Safari podría haber permitido que los atacantes remotos accedan en secreto a la cámara, el micrófono o la ubicación de su dispositivo y, en algunos casos, también a las contraseñas guardadas.
Apple recientemente pagó una recompensa de recompensa de $ 75,000 a un pirata informático ético, Ryan Pickren, quien prácticamente demostró el hack y ayudó a la compañía a reparar un total de siete nuevas vulnerabilidades antes de que cualquier atacante real pudiera aprovecharlas.
Las correcciones se publicaron en una serie de actualizaciones de Safari que abarca las versiones 13.0.5 (lanzadas el 28 de enero de 2020) y Safari 13.1 (publicado el 24 de marzo de 2020).
“Si el sitio web malicioso quería acceso a la cámara, todo lo que tenía que hacer era hacerse pasar por un sitio web confiable de videoconferencia como Skype o Zoom”, dijo Pickren.
Cuando se encadenaron, tres de los defectos de Safari informados podrían haber permitido que sitios maliciosos se hicieran pasar por cualquier sitio legítimo en el que la víctima confía y acceda a la cámara o al micrófono al abusar de los permisos que de otra manera la víctima otorgaría explícitamente solo al dominio de confianza.

Una cadena de exploits para abusar de los permisos por sitio de Safari

El navegador Safari otorga acceso a ciertos permisos como cámara, micrófono, ubicación y más por sitio web. Esto facilita que los sitios web individuales, digamos Skype, accedan a la cámara sin pedir permiso al usuario cada vez que se inicia la aplicación.
Pero hay excepciones a esta regla en iOS. Si bien las aplicaciones de terceros deben requerir el consentimiento explícito del usuario para acceder a la cámara, Safari puede acceder a la cámara o a la galería de fotos sin ninguna solicitud de permiso.
Específicamente, el acceso incorrecto es posible al aprovechar una cadena de exploits que resolvió múltiples fallas en la forma en que el navegador analizó los esquemas de URL y manejó la configuración de seguridad por sitio web. Este método solo funciona con sitios web que están actualmente abiertos.

“Una observación más importante fue que el esquema de la URL se ignora por completo”, señaló Pickren. “Esto es problemático porque algunos esquemas no contienen un nombre de host significativo, como file :, javascript :, o data :.”
Dicho de otra manera, Safari no pudo verificar si los sitios web se adhirieron a la política del mismo origen, otorgando así acceso a un sitio diferente que no debería haber obtenido permisos en primer lugar. Como resultado, un sitio web como “https://example.com” y su contraparte maliciosa “fake: //example.com” podría terminar teniendo los mismos permisos.
Por lo tanto, al aprovechar el análisis lento de nombres de host de Safari, fue posible usar un URI “file:” (por ejemplo, file: ///path/to/file/index.html) para engañar al navegador para que cambie el nombre de dominio usando JavaScript
“Safari cree que estamos en skype.com, y puedo cargar algunos malvados JavaScript. La cámara, el micrófono y el uso compartido de pantalla se ven comprometidos cuando abres mi archivo HTML local”, dijo Pickren.
La investigación encontró que incluso las contraseñas de texto sin formato se pueden robar de esta manera, ya que Safari utiliza el mismo enfoque para detectar sitios web en los que se debe aplicar el llenado automático de contraseñas.
Además, se pueden evitar las precauciones de descarga automática abriendo primero un sitio confiable como una ventana emergente y luego usándolo para descargar un archivo malicioso.
Del mismo modo, se puede explotar un URI “blob:” (por ejemplo, blob: //skype.com) para ejecutar código arbitrario de JavaScript, utilizándolo para acceder directamente a la cámara web de la víctima sin permiso.

En total, la investigación descubrió siete vulnerabilidades diferentes de día cero en Safari:

  • CVE-2020-3852: A URL scheme may be incorrectly ignored when determining multimedia permission for a website
  • CVE-2020-3864: A DOM object context may not have had a unique security origin
  • CVE-2020-3865: A top-level DOM object context may have incorrectly been considered secure
  • CVE-2020-3885: A file URL may be incorrectly processed
  • CVE-2020-3887: A download’s origin may be incorrectly associated
  • CVE-2020-9784: A malicious iframe may use another website’s download settings
  • CVE-2020-9787: A URL scheme containing dash (-) and period (.) adjacent to each other is incorrectly ignored when determining multimedia permission for a website

Si es un usuario de Safari, se recomienda que mantenga el navegador actualizado y se asegure de que los sitios web tengan acceso solo a las configuraciones que son esenciales para que funcionen.

Fuente: The Hacker News

Total
1
Shares
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prev
Nueva Vulnerabilidad de Zoom permite a los hackers comprometer contraseña de inicio de sesión de Windows

Nueva Vulnerabilidad de Zoom permite a los hackers comprometer contraseña de inicio de sesión de Windows

Zoom ha estado allí durante nueve años, pero el requisito inmediato de una

Next
Zoom atrapado en el debate sobre ciberseguridad: aquí está todo lo que necesita saber

Zoom atrapado en el debate sobre ciberseguridad: aquí está todo lo que necesita saber

En las últimas semanas, el uso del software de videoconferencia Zoom ha

También te podría gustar...
Total
1
Share