Sicherheitslücken: Safari ermöglichte ungefragt Zugriff auf die Webcam

Gleich sieben Sicherheitslücken hat ein Forscher in Apples Browser Safari entdeckt.

Artikel veröffentlicht am ,
Sicherheitslücken in Apples Browser Safari
Sicherheitslücken in Apples Browser Safari (Bild: Karlis Dambrans/CC-BY 2.0)

Mehrere Sicherheitslücken in Apples Browser Safari ermöglichten Angreifern den ungefragten Zugriff auf die Kamera von Macs, iPhones und iPads. Voraussetzung war, dass der Nutzer bereits einer Webseite den Kamerazugriff erlaubt hat, beispielsweise Skype, Zoom oder Jitsi. Anschließend konnte über eine präparierte Webseite oder darin eingebundene Werbung auf die Kamera zugegriffen werden. Die insgesamt sieben Lücken wurden von dem Sicherheitsforscher Ryan Pickren entdeckt und von Apple behoben.

Stellenmarkt
  1. Full Stack Developer (w/m/d) Marketing/E-Commerce
    dmTECH GmbH, Karlsruhe
  2. Software Engineer Industry 4.0*
    SCHOTT AG, Mainz
Detailsuche

Damit der Nutzer den Kamerazugriff nicht jedes Mal erneut erlauben muss, legt Safari eine Liste mit autorisierten Domains an. Allerdings hat Safari die Domains nur unzureichend überprüft: Für den Browser waren www.example.com, http://example.com und https://example.com und fake://example.com die gleichen Domains - denen ungefragt der Zugriff auf das Mikrofon und die Kameras unter iOS und MacOS erlaubt wurde. Diesen Umstand nutzte Pickren aus.

Dem Sicherheitsforscher gelang es auf verschiedene Arten, die ursprüngliche Domain umzuschreiben und das Protokoll zu wechseln. Durch eine Kombination der Sicherheitslücken konnte Pickren die gefakte URL blob://skype.com öffnen, die von Safari als Skype.com anerkannt wurde. Damit erhielt der Sicherheitsforscher Zugriff auf das Mikrofon und die Kameras. Unter MacOS sei zudem eine Aktivierung des Screensharings möglich gewesen, erklärt Pickren.

Pickren meldete die Sicherheitslücken an Apple und erhielt ein Bug Bounty über 75.000 US-Dollar. Apple schloss die sieben Sicherheitslücken (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, CVE-2020-9787) mit Safari 13.0.5 beziehungsweise 13.1 sowie den iOS-Updates 13.3.1 und 12.4.5. In seinem ausführlichen Blogeintrag hat Pickren zudem ein Proof-of-Concept (PoC) veröffentlicht, mit dem sich der Angriff ausprobieren lässt. Dafür ist jedoch Safari in der Version 13.0.4 notwendig, wie der Sicherheitsforscher betont.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elgooG 07. Apr 2020

Ich glaube du hast gar nicht verstanden worum es mir geht. Natürlich hat man keine...

chefin 07. Apr 2020

Leider vergisst du einen Kleinigkeit Wer den Fehler finden und ausnutzt, wird ihn nicht...



Aktuell auf der Startseite von Golem.de
Arclight Rumble
Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!

Golem.de hat es gespielt: Arclight Rumble entpuppt sich als gelungenes Mobile Game - aber wie ein echtes Warcraft fühlt es sich nicht an.
Von Peter Steinlechner

Arclight Rumble: Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!
Artikel
  1. Google: Russland will Youtube aus Selbstschutz nicht blockieren
    Google
    Russland will Youtube aus Selbstschutz nicht blockieren

    Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

  2. Biontech: Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen
    Biontech
    Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen

    In Mainz ist Biontech beheimatet, was die Steuereinnahmen explodieren lässt. Mit dem Geld wird nun ein 365-Euro-Jahresticket für Schüler und Azubis finanziert.

  3. Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
    Nordvpn, Expressvpn, Mullvad & Co
    Die Qual der VPN-Wahl

    Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
    Von Moritz Tremmel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /