近来许多人都必须在家工作或在家隔离而需要视频软件,但小心不要连上恶意网站。一名前AmazonWebServices(AWS)员工发现Safari有3项漏洞,让冒充Zoom或Skype的恶意网站,得以访问iPhone或Mac计算机的相机及麦克风,甚至不需用户许可。
研究人员RyanPickren于去年12月苹果抓虫奖励方案中的"零键击非授权访问敏感资料"类别,披露这些漏洞,并提供概念验证攻击示范。
苹果的App安全性设计向来被认为较为严谨。一般情况下,iOS/Mac要求每个App访问手机或计算机的相机及麦克风时,一定要取得用户的明显同意,OS会在App访问前发出警告对话框。但也有例外情形,例如苹果允许用户可依个别网站(per-website)永久存储安全设置,这些网站不需经过这层把关,即可自动访问相机或麦克风。
Pickren一共在Safari上发现到的7项漏洞,CVE-2020-3852、CVE-2020-3864、CVE-2020-3865、CVE-2020-3885、CVE-2020-3887、CVE-2020-9784和CVE-2020-9787。其中三项,包括Safari解析URI(uniformresourceidentifier)、执行同源网页政策(same-originpolicy)及启动安全环境(securecontext)连接三大方面的漏洞,让黑客可以设立假冒为Zoom或Skype等受信赖的网站,诱使用户连上,即可远程触发攻击,打开手机和计算机上的相机或麦克风。
而如果某个恶意网站串起这些漏洞,还能使用JavaScript直接访问受害者的相机,无需经过许可。任何具备创建跳出窗口的JavaScript,如单一网站、嵌入式横幅广告或浏览器扩展程序,都可以发动类似攻击。
根据Checkpoint的统计,一月以来与Zoom相关的域名名添加1,700多个,其中至少70个为恶意域名。
由于此重大发现,Pickren因此获得苹果破格颁发7.5万美元奖金,原奖项最高5万美元。苹果已经于1月及3月修补了这些漏洞。