Beveiligingsonderzoeker Ryan Pickren ontdekte en rapporteerde onlangs aan Apple een reeks macOS-kwetsbaarheden die de Safari-browser blootlegden.
4 Nieuwe nuldagen gerapporteerd aan Apple
De hack van de onderzoeker "heeft met succes ongeautoriseerde cameratoegang verkregen door gebruik te maken van een reeks problemen met iCloud Sharing en Safari 15." Als resultaat van het onderzoek, 4 zero-day fouten kwamen naar voren – CVE-2021-30861, CVE-2021-30975, en twee zonder CVE's. Pickren meldde de kwetsbaarheidsketen bij Apple en werd beloond $100,500 als een premie.
Hoewel de bug met betrekking tot macOS-camera's vereist dat het slachtoffer op “Open” op een pop-up van een website, het resulteert in meer dan alleen het kapen van multimediatoestemmingen, de onderzoeker uitgelegd.
"Deze keer, de bug geeft de aanvaller volledige toegang tot elke website die ooit door het slachtoffer is bezocht. Dat betekent naast het inschakelen van uw camera, mijn bug kan ook je iCloud hacken, PayPal, Facebook, Gmail, etc. ook accounts,” Pickren toegevoegd. In een notendop, misbruik maken van de reeks problemen kan een aanvaller in staat stellen de multimediatoestemming te kapen en volledige toegang te krijgen tot elke website die het slachtoffer in Safari heeft bezocht, inclusief Gmail, iCloud, Facebook, en PayPal.
De kwetsbaarheden komen voort uit een functie genaamd ShareBear, wat een iCloud-mechanisme voor het delen van bestanden is dat gebruikers vraagt wanneer ze een gedeeld document voor de eerste keer openen. Kort gezegd, de onderzoeker profiteerde van het feit dat de prompt slechts één keer aan de gebruiker wordt getoond zodra deze het bestand opent, de onderzoeker ontdekte de mogelijkheid om de inhoud van het bestand op verschillende manieren te wijzigen.
“ShareBear zal dan het bestand downloaden en bijwerken op de computer van het slachtoffer zonder enige gebruikersinteractie of kennisgeving. In essentie, het slachtoffer heeft de aanvaller toestemming gegeven om een polymorf bestand op hun machine te plaatsen en de toestemming om het op elk moment op afstand te starten,” hij zei.
De volledige technische openbaarmaking is beschikbaar in het oorspronkelijke rapport.
Vorige week, Apple heeft nieuwe versies uitgebracht van zijn besturingssystemen – iOS 15.3 en macOS Monterey 12.2, die een aantal fixes bevatte, inclusief twee zero-days.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: