如果您使用Apple iPhone或MacBook，這里有個(gè)令人震驚的新聞。

事實(shí)證明，使用Safari瀏覽器訪問(wèn)的有的網(wǎng)站是不合法的惡意網(wǎng)站，它們都可能使遠(yuǎn)程攻擊者秘密訪問(wèn)您設(shè)備的攝像頭，麥克風(fēng)或位置，并且在某些情況下還保存了密碼。

蘋(píng)果公司最近向一名白客Ryan Pickren頒發(fā)了75,000美元的賞金，他實(shí)際上證明了這種黑客行為，并幫助該公司修補(bǔ)了總共七個(gè)新漏洞，然后任何真正的攻擊者都可以利用它們。

該修復(fù)程序是對(duì)Safari的一系列更新發(fā)布的，這些更新跨越了13.0.5版—2020年1月28日發(fā)布和Safari 13.1—發(fā)布于2020年3月24日。

皮克倫說(shuō)：“如果惡意網(wǎng)站想要攝像頭訪問(wèn)，它要做的就是偽裝成可信任的視頻會(huì)議網(wǎng)站，例如Skype或Zoom。”

當(dāng)鏈接在一起時(shí)，三個(gè)已報(bào)告的Safari漏洞可能允許惡意站點(diǎn)冒充受害人信任的任何合法站點(diǎn)，并通過(guò)濫用被害人僅明確授予受信任域的權(quán)限來(lái)冒充受害人的攝像頭或麥克風(fēng)。

濫用Safari的逐站點(diǎn)權(quán)限的漏洞利用鏈

Safari瀏覽器基于每個(gè)網(wǎng)站授予訪問(wèn)某些權(quán)限的權(quán)限，例如相機(jī)，麥克風(fēng)，位置等。Skype的功能使各個(gè)網(wǎng)站都易于訪問(wèn)相機(jī)，而無(wú)需在每次啟動(dòng)該應(yīng)用程序時(shí)都征求用戶(hù)的許可。

但是在iOS上，此規(guī)則也有例外。雖然第三方應(yīng)用程序必須征得用戶(hù)的明確同意才能訪問(wèn)相機(jī)，但Safari可以訪問(wèn)相機(jī)或相冊(cè)而無(wú)需任何權(quán)限提示。

具體來(lái)說(shuō)，通過(guò)利用利用鏈接將瀏覽器URL進(jìn)行解析，并將每個(gè)網(wǎng)站處理安全設(shè)置的方式中的缺陷串在一起，就可以進(jìn)行不正確的訪問(wèn)。此方法僅適用于當(dāng)前打開(kāi)的網(wǎng)站。

示例圖，來(lái)源thehackernews

Pickren指出：“一個(gè)更重要的發(fā)現(xiàn)是URL的方案被完全忽略了。” “這是有問(wèn)題的，因?yàn)槟承┓桨父静话幸饬x的主機(jī)名，例如file：，javascript：或data:”

換句話說(shuō)，Safari無(wú)法檢查網(wǎng)站是否遵循同源規(guī)則，卻授予以不應(yīng)獲得其他網(wǎng)站的權(quán)限。結(jié)果，諸如“ https://example.com”之類(lèi)的網(wǎng)站及其惡意副本“ fake：//example.com”可能最終具有相同的權(quán)限。

皮克倫說(shuō)：“ Safari認(rèn)為我們?cè)趕kype.com上，我可以加載到一些被黑客改寫(xiě)的JavaScript。打開(kāi)本地HTML文件時(shí)，相機(jī)，麥克風(fēng)和屏幕共享都會(huì)受到損害。”

研究發(fā)現(xiàn)，即使純文本密碼也可以通過(guò)這種方式被盜，因?yàn)镾afari使用相同的方法來(lái)檢測(cè)需要自動(dòng)填充密碼的網(wǎng)站。

此外，可以通過(guò)以下方法繞過(guò)自動(dòng)下載預(yù)防措施：首先打開(kāi)一個(gè)受信任的站點(diǎn)作為彈出窗口，然后使用它來(lái)下載文件。

這項(xiàng)研究總共發(fā)現(xiàn)了Safari中的七個(gè)不同的零日漏洞：

• CVE-2020-3852：確定網(wǎng)站的多媒體權(quán)限時(shí)，可能會(huì)錯(cuò)誤地忽略URL方案
• CVE-2020-3864：DOM對(duì)象上下文可能沒(méi)有唯一的安全來(lái)源
• CVE-2020-3865：頂級(jí)DOM對(duì)象上下文可能被錯(cuò)誤地認(rèn)為是安全的
• CVE-2020-3885：文件URL可能未正確處理
• CVE-2020-3887：下載的來(lái)源可能未正確關(guān)聯(lián)
• CVE-2020-9784：惡意iframe可能會(huì)使用其他網(wǎng)站的下載設(shè)置
• CVE-2020-9787：確定網(wǎng)站的多媒體權(quán)限時(shí)，錯(cuò)誤地忽略了包含短劃線-和.的URL方案

如果您是Safari用戶(hù)，建議您使瀏覽器保持最新?tīng)顟B(tài)，并確保僅授予網(wǎng)站訪問(wèn)權(quán)限以使其正常運(yùn)行。