image

Kwetsbaarheid in Safari kon websites toegang tot webcam geven

vrijdag 3 april 2020, 12:44 door Redactie, 3 reacties

Websites die toegang tot de webcam van Safari-gebruikers willen moeten hier normaliter toestemming voor vragen, maar via drie kwetsbaarheden was het mogelijk voor aanvallers om zonder toestemming en interactie van gebruikers de webcam te benaderen en gebruikers te bespioneren.

Apple heeft inmiddels beveiligingsupdates voor de beveiligingslekken uitgebracht. De aanval die onderzoeker Ryan Pickren ontwikkelde liet Safari geloven dat een kwaadaardige website eigenlijk een website was die eerder toestemming van de gebruiker had gekregen om de webcam te benaderen. Apple laat gebruikers per website instellen of die toegang tot de webcam hebben.

"Wanneer een kwaadaardige website cameratoegang wilde, had het zich alleen als een vertrouwde videconferentiewebsite moeten voordoen, zoals Skype of Zoom", merkt Pickren op. Door de drie kwetsbaarheden te combineren was het mogelijk voor kwaadaardige websites om via JavaScript zonder toestemming de camera te benaderen. "Elke JavaScript-code met de mogelijkheid om een pop-up te creëren had deze aanval kunnen uitvoeren", aldus de onderzoeker.

Pickren waarschuwde Apple, dat de bugs als een "netwerkaaval zonder gebruikersinteractie" bestempelde en de onderzoeker met 75.000 dollar beloonde. Het probleem speelde zowel bij Safari voor iOS als macOS. Apple verhielp de problemen in Safari 13.0.5 die eind januari uitkwam.

Image

Reacties (3)
03-04-2020, 12:55 door Briolet
Maar als de camera aangaat, gaat ook altijd het bijbehorende groene lichtje aan. Gebruikers zien dus direct dat er iets mis is met de webcam.
03-04-2020, 13:29 door Anoniem
Kwetsbaarheid in Safari kon websites toegang tot webcam geven.

Enige weken terug loofde XS4ALL een prijsvraag uit en kon de klant een security en privacy pakketje winnen.
De winnaars kregen in het pakket vandaag toegestuurd de volgende zaken:

1) Een USB Data Blocker: die kun je gebruiken via een usb-aansluiting voor je phone bijvoorbeeld. De andere kant steek je in een publieke oplaadpunt. De Data Blocker voorkomt dat er data van je phone wordt geëxfiltreerd. Je data blijft in je phone.

2) Een webcam cover om de camera af te sluiten aan de buitenkant, waardoor hackers niet meer kunnen meekijken.

3) Een RFID- Blocking Card die je in je pasjeshouder steekt, waardoor data exfiltratie van geld van je pas of andere vertrouwelijke privacy zaken op je ID-kaart niet meer kunnen plaatsvinden.

Vooral de webcam cover komt voor mij als iMac-gebruiker geen dag te vroeg.
04-04-2020, 14:27 door Anoniem
Sinds welke iOS en Mac OS versies speelt dit minimaal?
Lijkt mij essentiele informatie voor het publiek.
Al was het maar omdat al eerder webcam en javascript exploits door Apple gedicht zouden zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.