Safari: des failles permettaient de pirater votre webcam

Un chercheur en sécurité a révélé des vulnérabilités dans le navigateur Safari d’Apple qui peuvent être utilisées pour espionner les iPhones, iPads et ordinateurs Mac à l’aide de leurs microphones et caméras. Pour exploiter ces failles, tout ce qu’un pirate informatique doit faire est de convaincre une victime de cliquer sur un lien malveillant.

Le chercheur en sécurité Ryan Pickren a révélé des détails sur sept failles de sécurité dans Safari, dont trois qui pourraient être utilisées pour accéder aux webcams des victimes. Les vulnérabilités ont été précédemment partagées avec Apple via son programme de bug-bounty et ont été patchées. Cependant, les détails techniques des failles, y compris une preuve de concept (PoC), ont été gardés secrets jusqu’à la récente divulgation de Pickren.

«Imaginez que vous êtes sur un site Web populaire quand tout à coup une bannière publicitaire pirate votre caméra et votre microphone pour vous espionner. C’est exactement ce que cette vulnérabilité aurait permis », a déclaré Pickren, dans une analyse de ces vulnérabilités. “Cette vulnérabilité a permis aux sites Web malveillants de se faire passer pour des sites Web de confiance lorsqu’ils sont affichés sur la version de bureau de Safari (comme sur les ordinateurs Mac) ou sur les versions mobiles de Safari (comme sur les iPhones ou iPads).”

Alors que normalement, chaque application doit être explicitement autorisée par les utilisateurs à accéder aux caméras et aux microphones des appareils, les applications d’Apple n’en ont pas besoin, y compris Safari.

De plus, les nouvelles technologies Web, y compris l’API Web MediaDevices (une interface permettant d’accéder aux périphériques d’entrée multimédias connectés comme les caméras et les microphones, ainsi que le partage d’écran), permettent à certains sites Web d’utiliser les autorisations de Safari pour accéder directement à la caméra. Pickren a déclaré que cette fonctionnalité est «idéale pour les applications de vidéoconférence basées sur le Web telles que Skype ou Zoom. Mais… cette nouvelle technologie de caméra sur le Web sape le modèle de sécurité de la caméra native du système d’exploitation. »

Avec ces problèmes à l’esprit, Pickren a découvert trois vulnérabilités dans les versions macOS et iOS de Safari 13.0.4 (CVE-2020-3885, CVE-2020-3887, CVE-2020-9784), ce qui lui a finalement permis d’accéder à la webcam sans autorisation.

safari

Plus précisément, les failles proviennent d’un ensemble parfait de petites erreurs dans la façon dont Safari analyse les URI (y compris les URL / adresses Web), gère les origines Web (les origines sont définies par le protocole et le domaine Web utilisés) et les ports, et initialise les contextes sécurisés (un contexte sécurisé est une fenêtre où le contenu a été livré en toute sécurité via HTTPS / TLS).

webcam

Un pirate informatique pourrait tirer parti de ces erreurs en créant une URL spéciale qui utiliserait des scripts intégrés dans un site malveillant. L’URL pourrait inciter Safari à penser qu’un site Web contrôlé par un hacker se trouve dans le «contexte sécurisé» d’un site Web de confiance, tel que Zoom ou Skype. Safari donnerait alors aux pirates qui ont créé le lien une autorisation pour accéder à la webcam via l’API Web MediaDevices.

“Si un site Web malveillant regroupait ces problèmes, il pourrait utiliser JavaScript pour accéder directement à la webcam de la victime sans demander la permission”, a-t-il déclaré lors d’une présentation technique de l’attaque.

“Tout code JavaScript avec la possibilité de créer une fenêtre contextuelle (comme un site Web autonome, une bannière publicitaire intégrée ou une extension de navigateur) pourrait lancer cette attaque.” Une fois qu’un utilisateur clique sur les URL de ces sites Web, bannières publicitaires ou extensions, les autorisations d’accès à leur caméra et à leur microphone sont automatiquement accordées aux pirates.

Pickren a déclaré qu’il avait signalé les sept failles (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 et CVE-2020- 9787) en Décembre 2019 à Apple dans le cadre de leur programme de bug-bounty (qui a été rendu public à la communauté des chercheurs en décembre) et a été récompensé de 75 000 dollars. La récompense la plus élevée dans la catégorie «Attaque réseau sans interaction avec l’utilisateur: accès non autorisé sans clic aux données sensibles», dans laquelle Pickren a soumis ses trouvailles, est de 500 000 dollars.

Ces failles de Safari ont été patchées

Apple a patché les vulnérabilités de la webcam dans une mise à jour du 28 janvier (pour Safari version 13.0.5) et les quatre failles restantes ont été corrigées en Mars.

La divulgation survient après un rapport récent de deux failles zéro-day dans la version client macOS de la plate-forme de conférence Web Zoom. Les vulnérabilités de Zoom pourraient accorder aux attaquants locaux non privilégiés des privilèges root et leur permettre d’accéder au microphone et à la caméra des victimes.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x