Výzkumník Ryan Pickren v prosinci objevil chyby, které umožňovaly útočníkům získat obraz z kamery či dokonce dění na obrazovce skrze Safari. Některé zranitelnosti byly v prohlížeči i několik let, Apple ale nyní vydal záplaty.
Chyba týkající se Safari na macOS a iOS umožňovala útočníkovi získal přístup ke kamerám zařízení a i k možností sdílení obrazovky – tedy zobrazení všeho, co uživatel aktuálně dělá. Princip byl přitom poměrně jednoduchý a nenabourával žádnou z ochran, kterou Safari má zabudovanou vůči zneužití oprávnění k jednotlivým komponentům.
Problém byl překlad v URL adresy. Safari totiž například https://www.skype.com považovalo za stejné jako http://www.skype.com či fake:https://www.skype.com. Kvůli tomuto bylo možné zmást prohlížeč zneužít oprávnění, která uživatel vědomě udělil některé webové stránce – právě třeba zmíněnému Skypu. Pokud tedy útočník navedl uživatele na kliknutí podvodného odkazu, mohl právě získat přístup ke kameře a dalšímu obsahu.
Ryan Pickren objevil několik souvisejících chyb, přitom některé byly v prohlížeči již několik let. Pod drobnohled se ale dostaly až nedávno a největší nebezpeční by mohlo nastat nyní, kdy videokonference nabírají na oblibě. K nahlášení Applu došlo v prosinci, přičemž firma vydala potřebné opravné aktualizace v lednu a březnu. Pokud tedy máte aktuální prohlížeč a systém, chyba by se vás již neměla týkat.
Zdroj: Wired