Il ricercatore di sicurezza Ryan Pickren ha recentemente scoperto e segnalato ad Apple una serie di vulnerabilità di macOS che hanno esposto il browser Safari.
4 Nuovi Zero-Days segnalati ad Apple
L'hack del ricercatore "ha ottenuto con successo l'accesso non autorizzato alla fotocamera sfruttando una serie di problemi con la condivisione di iCloud e Safari 15". Come risultato della ricerca, 4 sono emersi difetti zero-day – CVE-2021-30861, CVE-2021-30975, e due senza CVE. Pickren ha segnalato la catena di vulnerabilità ad Apple ed è stato premiato $100,500 come ricompensa.
Mentre il bug relativo alle fotocamere macOS richiede che la vittima faccia clic “aperto” su un popup da un sito web, si traduce in qualcosa di più del semplice dirottamento dei permessi multimediali, il ricercatore spiegato.
"Questa volta, il bug offre all'attaccante il pieno accesso a ogni sito web mai visitato dalla vittima. Ciò significa oltre ad accendere la fotocamera, il mio bug può anche hackerare il tuo iCloud, PayPal, Facebook, Gmail, etc. anche i conti,” ha aggiunto Pickren. In poche parole, lo sfruttamento della catena di problemi potrebbe consentire a un utente malintenzionato di dirottare l'autorizzazione multimediale e ottenere l'accesso completo a tutti i siti Web visitati dalla vittima in Safari, compreso Gmail, iCloud, Facebook, e PayPal.
Le vulnerabilità derivano da una funzionalità chiamata ShareBear, che è un meccanismo di condivisione file di iCloud che richiede agli utenti quando si apre un documento condiviso per la prima volta. Poco detto, il ricercatore ha sfruttato il fatto che il prompt viene mostrato all'utente solo una volta dopo l'accesso per aprire il file, il ricercatore ha scoperto la possibilità di alterare il contenuto del file in vari modi.
“ShareBear scaricherà e aggiornerà il file sul computer della vittima senza alcuna interazione o notifica da parte dell'utente. In sostanza, la vittima ha concesso all'attaccante il permesso di impiantare un file polimorfico sul proprio computer e il permesso di lanciarlo da remoto in qualsiasi momento,” Egli ha detto.
Completa divulgazione tecnica è disponibile in il report originale.
La settimana scorsa, Apple ha rilasciato nuove versioni dei suoi sistemi operativi – iOS 15.3 e macOS Monterey 12.2, che conteneva una serie di correzioni, di cui due zero-day.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: