Safari 漏洞让恶意网站冒充 Zoom、Skype 访问 iPhone 等
2020-04-07 05:47:37   来源：东方头条   

近来许多人都必须在家工作或在家隔离而需要视频软件，但小心不要连上恶意网站。一名前AmazonWebServices（AWS）员工发现Safari有3项漏洞，让冒充Zoom或Skype的恶意网站，得以访问iPhone或Mac计算机的相机及麦克风，甚至不需用户许可。

研究人员RyanPickren于去年12月苹果抓虫奖励方案中的"零键击非授权访问敏感资料"类别，披露这些漏洞，并提供概念验证攻击示范。

苹果的App安全性设计向来被认为较为严谨。一般情况下，iOS/Mac要求每个App访问手机或计算机的相机及麦克风时，一定要取得用户的明显同意，OS会在App访问前发出警告对话框。但也有例外情形，例如苹果允许用户可依个别网站（per-website）永久存储安全设置，这些网站不需经过这层把关，即可自动访问相机或麦克风。

Pickren一共在Safari上发现到的7项漏洞，CVE-2020-3852、CVE-2020-3864、CVE-2020-3865、CVE-2020-3885、CVE-2020-3887、CVE-2020-9784和CVE-2020-9787。其中三项，包括Safari解析URI（uniformresourceidentifier）、执行同源网页政策（same-originpolicy）及启动安全环境（securecontext）连接三大方面的漏洞，让黑客可以设立假冒为Zoom或Skype等受信赖的网站，诱使用户连上，即可远程触发攻击，打开手机和计算机上的相机或麦克风。

而如果某个恶意网站串起这些漏洞，还能使用JavaScript直接访问受害者的相机，无需经过许可。任何具备创建跳出窗口的JavaScript，如单一网站、嵌入式横幅广告或浏览器扩展程序，都可以发动类似攻击。

根据Checkpoint的统计，一月以来与Zoom相关的域名名添加1,700多个，其中至少70个为恶意域名。

由于此重大发现，Pickren因此获得苹果破格颁发7.5万美元奖金，原奖项最高5万美元。苹果已经于1月及3月修补了这些漏洞。