Los errores que permiten a los sitios secuestrar las cámaras de Mac y iPhone obtienen una recompensa de $ 75k

Los errores que permiten a los sitios secuestrar las cámaras de Mac y iPhone obtienen una recompensa de $ 75k

Ryan Pickren

Un error de seguridad que dio a los piratas informáticos maliciosos la capacidad de acceder a las cámaras de Mac, iPhone y iPad ha traído una recompensa de $ 75,000 al investigador que lo descubrió.

En publicaciones publicadas aquí y aquí, el investigador Ryan Pickren dijo que descubrió siete vulnerabilidades en Safari y su motor de navegador Webkit que, cuando se encadenaron, permitieron que sitios web maliciosos encendieran las cámaras de Mac, iPhone y iPad. Pickren informó en privado los errores, y desde entonces Apple corrigió las vulnerabilidades y pagó al investigador $ 75,000 como parte del programa de recompensas por errores de la compañía.

Apple restringe estrictamente el acceso que las aplicaciones de terceros obtienen a las cámaras del dispositivo. Para las aplicaciones de Apple, las restricciones no son tan estrictas. Incluso entonces, Safari requiere que los usuarios enumeren explícitamente los sitios que tienen acceso a la cámara. Y más allá de eso, las cámaras solo pueden tener acceso a esos sitios cuando se entregan en un contexto seguro, lo que significa que cuando el navegador tiene una alta confianza, la página se entrega a través de una conexión HTTPS.

Cuando Skype.com no es Skype.com

Pickren ideó una cadena de exploits que eludió estas protecciones. Al explotar múltiples vulnerabilidades que descubrió, el investigador pudo obligar a Safari a tratar su sitio web malicioso de prueba de concepto como si fuera Skype.com, que con fines de demostración se incluyó en la lista de sitios de confianza. (Skype.com en realidad no es compatible con Safari, pero el exploit de Pickren puede falsificar cualquier sitio, incluidos Zoom y Hangouts de Google, eso sí.) El siguiente video muestra el resultado.

El hack en formato de escritorio.

Como está claro, visitar un sitio que explotó estos errores le permitió enmascararse como cualquier otro sitio. En caso de que Safari confiara en el sitio falso para acceder a la cámara, el sitio malicioso pudo ver de inmediato lo que estaba a la vista del dispositivo objetivo. El video también deja en claro que una cámara de video aparecerá en la barra de direcciones tan pronto como comience el acceso. Además, las cámaras Mac encenderían una luz verde. Si bien los usuarios alertas sabrían que sus cámaras se han activado, los usuarios menos experimentados o vigilantes podrían no darse cuenta.

“En pocas palabras, el error engañó a Apple al pensar que un sitio web malicioso era realmente confiable”, escribió Pickren. “Lo hizo explotando una serie de fallas en la forma en que Safari analizaba los URI, administraba los orígenes web e inicializaba contextos seguros”.

Su sitio web malicioso utilizaba JavaScript para acceder directamente a la cámara web objetivo sin solicitar ni obtener permiso. Pickren dijo que los exploits podrían haber usado “cualquier código JavaScript con la capacidad de crear una ventana emergente”. Eso significa que la captura de la cámara podría llevarse a cabo no solo por sitios web independientes, sino también por pancartas publicitarias incrustadas, sitios representados en una etiqueta de iframe HTML o extensiones de navegador maliciosas.

La más larga de las dos publicaciones de Pickren, ubicadas aquí, proporciona una inmersión profunda en los detalles técnicos. En un correo electrónico, Pickren resumió el exploit de esta manera:

Mi sitio web malicioso utilizó un “URL de datos“Para generar un”URL de blob“Y luego usé el Location.replace () API web para navegar hacia ella. Esto engañó a Safari para que accidentalmente me diera un malformado “origen“(CVE-2020-3864). Con este origen malformado, utilicé el ventana historia API para cambiar mi URL a “blob: //skype.com”. A partir de ahí, descarté mi origen para engañar a Safari haciéndole creer que estaba en un “contexto seguro“(CVE-2020-3865). Debido a que Safari previamente ignoró los esquemas de URL al aplicar los permisos del sitio web (CVE-2020-3852), pude aprovechar todos los permisos que la víctima otorgó a los verdaderos skype.com.

Mientras que la cadena de ataque explotó las vulnerabilidades rastreadas como CVE-2020-3864, CVE-2020-3865 y CVE-2020-3852, Pickren descubrió otros cuatro defectos que están indexados como CVE-2020-3885, CVE-2020-3887, CVE -2020-9784 y CVE-2020-9787. Apple arregló la mayoría de ellos a fines de enero (ver avisos aquí y aquí) y parcheó el resto el mes pasado.

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí