Apple tiene una buena reputación bien ganada por su seguridad, pero en los últimos años su navegador Safari ha tenido algunos errores. Esta semana, un investigador de seguridad compartió públicamente nuevos hallazgos sobre vulnerabilidades que habrían permitido a un atacante explotar tres errores de Safari en sucesión y hacerse cargo de la cámara web y el micrófono de un objetivo en dispositivos iOS y macOS.
Un investigador de seguridad llamado Ryan Pickren logró entrar en la cámara de los dispositivos Apple desde el navegador web Safari en iOS y macOS. Apple ha reparado la vulnerabilidad en parches de seguridad recientes.
Pickren encontró siete vulnerabilidades de seguridad de las cuales tres de ellas ( CVE-2020-3864, CVE-2020-3865 , CVE-2020-9784 ) fueron suficientes para hacerse cargo del sistema de cámaras. La metodología permitió a los atacantes espiar en la cámara cuando el usuario hace clic en un enlace malicioso.
«Esta vulnerabilidad permitió que los sitios web maliciosos se hicieran pasar por sitios web de confianza cuando se veían en Desktop Safari (como en computadoras Mac) o Mobile Safari (como en iPhones o iPads)», escribió Ryan Pickren en una publicación de blog.
Pickren presentó siete vulnerabilidades al programa de recompensas de errores de Apple a mediados de diciembre y dice que recibió una respuesta de que la compañía había validado los errores al día siguiente. Mientras que un atacante solo explotaría tres de los errores para hacerse cargo de las cámaras web. Pickren dice que parte de la razón por la que encontró tantos errores adicionales fue porque estaba buscando una cadena de ataque que funcionara tanto en iOS como en macOS, ya que Safari está diseñado de manera ligeramente diferente para cada uno de estos.
También puede interesarte: Vulnerabilidad del iPhone X hace que hackers recuperen archivos borrados
Según Pickren, la vulnerabilidad aprovechó la configuración de seguridad de Safari que alienta a los usuarios a guardar los permisos del sitio. El atacante solo tuvo que hacer creer al navegador que el enlace malicioso pertenecía a un sitio web confiable, lo que Pickren dice que es posible «explotando una serie de fallas en cómo Safari analizaba los URI, administraba los orígenes web e inicializaba contextos seguros» .
Un hacker que engañó a una víctima para que hiciera clic en su enlace malicioso podría iniciar silenciosamente la cámara web y el micrófono del objetivo para capturar vídeos, tomar fotos o grabar audio. Y el ataque funcionaría tanto en iPhones, iPads y Macs. Ninguno de los defectos está en las protecciones de micrófono y cámara web de Apple, ni siquiera en las defensas de Safari que evitan que los sitios maliciosos accedan a los sensores. En cambio, el ataque supera todas estas barreras con solo generar un «disfraz convincente».
En particular, cualquier código JS que haya podido crear una ventana emergente, por ejemplo, una extensión del navegador o un banner publicitario, podría haber explotado la técnica. Pickren dice que Apple clasificó su método en la categoría «Ataque de red sin interacción del usuario: acceso no autorizado de clic cero a datos confidenciales» y le otorgó $ 75,000 por sus hallazgos.
Si está interesado en saber cómo funciona el proceso detrás de escena, Pickren ha publicado los detalles técnicos del método en una publicación que puedes consultar aquí.
Por lo tanto, esta es otra prueba de concepto que muestra por qué no debes hacer clic en enlaces maliciosos que abundan por Internet y un recordatorio para mantener los permisos de la cámara deshabilitados de forma predeterminada en tus computadoras como mínimo o usar un obturador de cámara portátil cuando la cámara no está en uso si te preocupa que puedan violar tu privacidad.
Apple expandió su programa de recompensas de errores en diciembre para aceptar vulnerabilidades en más de sus productos y servicios, como parte de una descongelación más amplia de su relación con los investigadores de seguridad externos. El cambio ya está beneficiando a los usuarios, sin mencionar al propio Pickren.
👇 Más Noticias en Reiniciado: