如果您使用Apple iPhone或MacBook，這里有個令人震驚的新聞。

事實證明，使用Safari瀏覽器訪問的有的網(wǎng)站是不合法的惡意網(wǎng)站，它們都可能使遠(yuǎn)程攻擊者秘密訪問您設(shè)備的攝像頭，麥克風(fēng)或位置，并且在某些情況下還保存了密碼。

蘋果公司最近向一名白客Ryan Pickren頒發(fā)了75,000美元的賞金，他實際上證明了這種黑客行為，并幫助該公司修補了總共七個新漏洞，然后任何真正的攻擊者都可以利用它們。

該修復(fù)程序是對Safari的一系列更新發(fā)布的，這些更新跨越了13.0.5版—2020年1月28日發(fā)布和Safari 13.1—發(fā)布于2020年3月24日。

皮克倫說：“如果惡意網(wǎng)站想要攝像頭訪問，它要做的就是偽裝成可信任的視頻會議網(wǎng)站，例如Skype或Zoom。”

當(dāng)鏈接在一起時，三個已報告的Safari漏洞可能允許惡意站點冒充受害人信任的任何合法站點，并通過濫用被害人僅明確授予受信任域的權(quán)限來冒充受害人的攝像頭或麥克風(fēng)。

濫用Safari的逐站點權(quán)限的漏洞利用鏈

Safari瀏覽器基于每個網(wǎng)站授予訪問某些權(quán)限的權(quán)限，例如相機，麥克風(fēng)，位置等。Skype的功能使各個網(wǎng)站都易于訪問相機，而無需在每次啟動該應(yīng)用程序時都征求用戶的許可。

但是在iOS上，此規(guī)則也有例外。雖然第三方應(yīng)用程序必須征得用戶的明確同意才能訪問相機，但Safari可以訪問相機或相冊而無需任何權(quán)限提示。

具體來說，通過利用利用鏈接將瀏覽器URL進(jìn)行解析，并將每個網(wǎng)站處理安全設(shè)置的方式中的缺陷串在一起，就可以進(jìn)行不正確的訪問。此方法僅適用于當(dāng)前打開的網(wǎng)站。

示例圖，來源thehackernews

Pickren指出：“一個更重要的發(fā)現(xiàn)是URL的方案被完全忽略了。” “這是有問題的，因為某些方案根本不包含有意義的主機名，例如file：，javascript：或data:”

換句話說，Safari無法檢查網(wǎng)站是否遵循同源規(guī)則，卻授予以不應(yīng)獲得其他網(wǎng)站的權(quán)限。結(jié)果，諸如“ https://example.com”之類的網(wǎng)站及其惡意副本“ fake：//example.com”可能最終具有相同的權(quán)限。

皮克倫說：“ Safari認(rèn)為我們在skype.com上，我可以加載到一些被黑客改寫的JavaScript。打開本地HTML文件時，相機，麥克風(fēng)和屏幕共享都會受到損害。”

研究發(fā)現(xiàn)，即使純文本密碼也可以通過這種方式被盜，因為Safari使用相同的方法來檢測需要自動填充密碼的網(wǎng)站。

此外，可以通過以下方法繞過自動下載預(yù)防措施：首先打開一個受信任的站點作為彈出窗口，然后使用它來下載文件。

這項研究總共發(fā)現(xiàn)了Safari中的七個不同的零日漏洞：

• CVE-2020-3852：確定網(wǎng)站的多媒體權(quán)限時，可能會錯誤地忽略URL方案
• CVE-2020-3864：DOM對象上下文可能沒有唯一的安全來源
• CVE-2020-3865：頂級DOM對象上下文可能被錯誤地認(rèn)為是安全的
• CVE-2020-3885：文件URL可能未正確處理
• CVE-2020-3887：下載的來源可能未正確關(guān)聯(lián)
• CVE-2020-9784：惡意iframe可能會使用其他網(wǎng)站的下載設(shè)置
• CVE-2020-9787：確定網(wǎng)站的多媒體權(quán)限時，錯誤地忽略了包含短劃線-和.的URL方案

如果您是Safari用戶，建議您使瀏覽器保持最新狀態(tài)，并確保僅授予網(wǎng)站訪問權(quán)限以使其正常運行。