Prohlížeče | Internet | Bezpečnost | Safari

Safari bylo děravé. Kliknutím na odkaz se útočník dostal k obrazu z kamer na iPhonech i Macboocích

Výzkumník Ryan Pickren v prosinci objevil chyby, které umožňovaly útočníkům získat obraz z kamery či dokonce dění na obrazovce skrze Safari. Některé zranitelnosti byly v prohlížeči i několik let, Apple ale nyní vydal záplaty.

Chyba týkající se Safari na macOS a iOS umožňovala útočníkovi získal přístup ke kamerám zařízení a i k možností sdílení obrazovky – tedy zobrazení všeho, co uživatel aktuálně dělá. Princip byl přitom poměrně jednoduchý a nenabourával žádnou z ochran, kterou Safari má zabudovanou vůči zneužití oprávnění k jednotlivým komponentům.

Problém byl překlad v URL adresy. Safari totiž například https://www.skype.com považovalo za stejné jako http://www.skype.com či fake:https://www.skype.com. Kvůli tomuto bylo možné zmást prohlížeč zneužít oprávnění, která uživatel vědomě udělil některé webové stránce – právě třeba zmíněnému Skypu. Pokud tedy útočník navedl uživatele na kliknutí podvodného odkazu, mohl právě získat přístup ke kameře a dalšímu obsahu.

Ryan Pickren objevil několik souvisejících chyb, přitom některé byly v prohlížeči již několik let. Pod drobnohled se ale dostaly až nedávno a největší nebezpeční by mohlo nastat nyní, kdy videokonference nabírají na oblibě. K nahlášení Applu došlo v prosinci, přičemž firma vydala potřebné opravné aktualizace v lednu a březnu. Pokud tedy máte aktuální prohlížeč a systém, chyba by se vás již neměla týkat.

Zdroj: Wired

Diskuze (14) Další článek: Je pandemický virus SARS-CoV-2 umělého původu? Zatím vše nasvědčuje tomu, že nikoliv

Témata článku: , , , , , , , , , , , , , , , , , , , , , ,