Investigador secuestra iOS, MacOS Camera con tres …



Un investigador de seguridad ganó $ 75,000 por encontrar la friolera de siete días cero en Safari, tres de los cuales se pueden combinar para acceder a la cámara.

Apple ha recompensado a un investigador de seguridad $ 75,000 por descubrir un complete de siete días cero en el navegador Safari. Usando solo tres de estos defectos, un intruso podría construir una cadena de ataque y acceder a la cámara y al micrófono en dispositivos iOS y macOS para espiar a personas desprevenidas.

Ryan Pickren compartió sus descubrimientos con Apple en diciembre de 2019. La compañía parchó el exploit de la cámara en Safari 13..5, lanzado el 28 de enero los días cero restantes se arreglaron en Safari 13.1, lanzado el 24 de marzo. Se les asignaron estos CVE: CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020- 3887, CVE-2020-9784 y CVE-2020-9787.

En diciembre pasado, Pickren decidió investigar Safari para «forzar el navegador con oscuros casos de esquina» hasta que descubriera un comportamiento extraño que podría combinarse en una cadena de asesinatos. Ya tenía experiencia en la búsqueda de errores de Safari: a fines de 2018, cuando era un probador de penetración para Amazon World wide web Companies, Pickren recibido siete CVE universales de secuencias de comandos entre sitios (UXSS) en el navegador. Sin embargo, señala, estos fueron encontrados antes de Apple abrió su programa de recompensas de errores para todos los investigadores de seguridad en diciembre de 2019.

Pickren dice que su objetivo principal para este proyecto era acceder a la cámara en dispositivos iOS y macOS. Todas las otras vulnerabilidades que descubrió en el camino se consideraron «errores de bonificación».

«Tomó cerca de dos semanas de intensa investigación», dice Pickren sobre el proceso que condujo al descubrimiento de siete días cero. El proyecto requería que él «profundizara en las especificaciones HTML» y pasara «incontables horas» haciendo pruebas y errores, agrega. «Honestamente, me sorprendió bastante la cantidad de golpes de velocidad con los que me topé», dice. «Sin embargo, tuve la suerte de encontrar desvíos para todos ellos».

El modelo de seguridad de la cámara en iOS y macOS «es bastante intenso», escribe Pickren en una publicación técnica de web site sobre sus hallazgos. Como los usuarios de Apple saben, cada aplicación debe tener permiso explícito para acceder a la cámara y al micrófono. La mayoría lo hace mostrando una alerta emergente en la pantalla.

Pero como con todas las reglas, hay una excepción: las propias aplicaciones de Apple tienen acceso gratuito a la cámara y pueden abrirlo sin pedir permiso. Además, agrega Pickren, las nuevas tecnologías internet como la API world wide web de MediaDevices permiten a los sitios internet aprovechar el permiso de Safari para acceder a la cámara. «Pero … esta nueva tecnología de cámara basada en la website socava el modelo de seguridad de la cámara nativa del sistema operativo», dice.

Las vulnerabilidades que encontró existen en la forma en que Safari analizó los identificadores uniformes de recursos (URI), los orígenes world wide web administrados y los contextos seguros inicializados. La cadena de ataque de la cámara podría permitir que los sitios internet maliciosos se disfrazan de sitios confiables cuando se visualizan en Safari. Si un atacante creara un sitio world wide web y quisiera acceder a la cámara, solo necesitaría pretender ser un sitio de conferencia como Skype o Zoom. Unir los tres defectos juntos permitiría que el sitio acceda a la cámara.

«Cualquier atacante con la capacidad de ejecutar JavaScript en el navegador de la víctima puede lanzar este ataque», dice Pickren. «Un escenario realista es un banner publicitario falso», pero cualquier código JavaScript con la capacidad de crear una ventana emergente, por ejemplo, un sitio web independiente o una extensión de navegador, podría funcionar. Safari muestra un icono rojo de la cámara en la barra de URL cuando se accede a la cámara a través del escritorio sin embargo, alguien que no esté entrenado para buscar esto podría perderse. No hay indicador luminoso en ningún dispositivo iOS.

Pickren informó el mistake a Apple bajo las reglas del Programa de recompensas de seguridad y proporcionó una demostración en vivo bajo BugPoC. Apple clasificó el exploit de la cámara en la categoría «Ataque de pink sin interacción del usuario: acceso no autorizado de clic cero a datos confidenciales» y pagó $ 75,000.

Contenido relacionado:

Kelly Sheridan es la Editora de particular de Dim Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policies & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más ideas





Enlace a la noticia unique