Lücken in Safari: Forscher übernimmt Kamera und Mikrofon bei Mac und iPhone

Ein Securityspezialist hat über mehrere Lücken in Safari Kamera und Mikrofon übernommen. Der Exploit funktioniert in macOS und iOS, Updates sind veröffentlicht.

In Pocket speichern vorlesen Druckansicht 94 Kommentare lesen
Lücken in Safari: Website kann Kamera von Mac und iPhone steuern
Lesezeit: 3 Min.

Über mehrere Lücken in Apples Browser Safari lassen sich Kamera und Mikrofon des Systems übernehmen, wenn ein Benutzer auf eine entsprechend präparierte Website gerät – Bedingung ist lediglich, dass der Benutzer bereits einer legitimen Website (wie skype.com) vertraut und darüber den Zugriff auf die Kamera erlaubt hat. Die Schwachstellen lassen sich sowohl in macOS als auch in iOS ausnutzen, betreffen also alle Macs sowie iPhone und iPad. Der Security-Spezialist Ryan Pickren fand insgesamt sieben Lücken in Apples Browserengine WebKit, von denen er drei für sein Angriffsszenario kombinierte. Die Schwachstellen hat Apple inzwischen über Updates geschlossen.

Pickren fand insgesamt sieben Zero-day-Schwachstellen in Safari (mit den Kennzeichnungen CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 sowie CVE-2020-9787) und meldete sie an Apple. Drei davon kombinierte er in einer Weise, die es einer mit entsprechendem Schadcode präparierten Website (oder einem Banner auf einer unverdächtigen Website) erlaubt hätte, sich Safari gegenüber als vertrauenswürdige Website auszugeben. Hat der Benutzer bereits einer solchen Website (beispielsweise Skype oder Zoom) den Zugriff auf Kamera und Mikrofon erlaubt, könnte ein Angreifer somit auf das System zugreifen und den Benutzer ausspionieren.

Ausgangspunkt der Schwachstellen ist das nachlässige Parsen von URIs durch die Browserengine WebKit. Beim Speichern von vertrauenswürdigen Websites unterscheidet WebKit nicht zwischen abweichenden Origins. Die folgenden Beispiele fasst Safari alle unterschiedslos als "beispiel.de" auf: http://beispiel.de, https://beispiel.de, http://www.beispiel.de, fake://beispiel.de. Pickren beschreibt die Lücken und wie er es schaffte, damit schließlich Kamera und Mikrofon bei Apple-Geräten zu übernehmen, in einem sehr detaillierten Blogbeitrag auf seiner Website. Darin zeigt er auch den Code für sein Proof of Concept am Beispiel von Safari 13.0.4. Die entdeckten Schwachstellen meldete Pickren im Dezember vergangenen Jahres an Apple; im Rahmen eines Bug-Bounty-Programms des Unternehmens brachte ihm das 75.000 US-Dollar Belohnung ein.

Die Schwachstellen hat Apple bereits durch Updates geschlossen. Im Januar wurden mehrere Lücken in iOS bzw. iPadOS 13.3.1 sowie in macOS (Safari ab 13.0.5 in Catalina, Mojave und High Sierra) behoben. Ein am gleichen Tag veröffentlichtes Update für iOS 12 (12.4.5) dürfte die Lücken auch in dieser Version schließen, wenngleich Apple hierfür keine CVE-Nummern veröffentlicht. Im März wurden weitere der von Pickren entdeckten Lücken in macOS mit Safari 13.1 geschlossen (ebenfalls Catalina, Mojave und High Sierra). (tiw)