• Votre panier est vide.

  • LOGIN

Comment la simple visite d’un site a pu pirater l’appareil photo de votre iPhone ou MacBook


Certains articles de veille peuvent faire l'objet de traduction automatique.


Si vous utilisez l’iPhone ou le MacBook d’Apple, nous avons ici une nouvelle alarmante pour vous.

Il s’avère que la simple visite d’un site web – non seulement malveillant, mais aussi des sites légitimes qui chargent aussi des publicités malveillantes à leur insu – à l’aide du navigateur Safari aurait pu permettre à des attaquants distants d’accéder secrètement à l’appareil photo, au microphone ou à l’emplacement de votre appareil, et dans certains cas, aux mots de passe enregistrés également.

Apple a récemment versé une prime de 75 000 dollars à un hacker éthique, Ryan Pickrenqui a fait une démonstration pratique du piratage et a aidé l’entreprise à corriger un total de sept nouvelles vulnérabilités avant qu’un véritable attaquant ne puisse en tirer parti.

Les correctifs ont été publiés dans une série de mises à jour de Safari couvrant versions 13.0.5 (publié le 28 janvier 2020) et Safari 13.1 (publié le 24 mars 2020).

mot de passe auditeur

« Si le site web malveillant voulait avoir accès à des caméras, il n’avait qu’à se faire passer pour un site de visioconférence de confiance comme Skype ou Zoom », a déclaré M. Pickren.

Enchaînés ensemble, trois des défauts signalés dans Safari auraient pu permettre à des sites malveillants de se faire passer pour n’importe quel site légitime auquel une victime fait confiance et d’accéder à la caméra ou au microphone en abusant des autorisations qui étaient autrement explicitement accordées par la victime au seul domaine de confiance.

Une chaîne d’exploitation pour abuser des autorisations par site de Safari

Le navigateur Safari donne accès à certaines autorisations telles que la caméra, le microphone, l’emplacement, et plus encore sur un par site web. Il est ainsi facile pour les sites web individuels, comme Skype, d’accéder à la caméra sans demander la permission à l’utilisateur à chaque fois que l’application est lancée.

Mais il y a des exceptions à cette règle sur iOS. Alors que les applications tierces doivent nécessiter le consentement explicite de l’utilisateur pour accéder à l’appareil photo, Safari peut accéder à l’appareil photo ou à la galerie de photos sans aucune demande d’autorisation.

Plus précisément, l’accès abusif est rendu possible par l’utilisation d’une chaîne d’exploitation qui enchaîne de multiples failles dans la manière dont le navigateur schémas d’URL analysés et a géré les paramètres de sécurité pour chaque site web. Cette méthode ne fonctionne qu’avec les sites web qui sont actuellement ouverts.

« Une observation plus importante est que le schéma de l’URL est complètement ignoré », a noté M. Pickren. « Cela pose problème car certains schémas ne contiennent pas du tout de nom d’hôte significatif, comme file :, javascript :, ou data :. »

Autrement dit, Safari n’a pas vérifié si les sites web respectaient la politique de la même origine, permettant ainsi l’accès à un site différent qui n’aurait pas dû obtenir d’autorisations au départ. Par conséquent, un site web tel que « https://example.com » et son homologue malveillant « fake://example.com » pourraient se retrouver avec les mêmes autorisations.

Ainsi, en profitant de l’analyse paresseuse des noms d’hôtes de Safari, il était possible d’utiliser un « fichier : ». URI (par exemple, file:///path/to/file/index.html) pour tromper le navigateur et l’amener à changer le nom de domaine en utilisant JavaScript.

« Safari pense que nous sommes sur skype.com, et je peux charger un mauvais JavaScript. L’appareil photo, le microphone et le partage d’écran sont tous compromis lorsque vous ouvrez mon fichier HTML local », a déclaré M. Pickren.

Les recherches ont montré que même les mots de passe en clair peuvent être volés de cette manière, car Safari utilise la même approche pour détecter les sites web sur lesquels il faut appliquer l’auto-remplissage des mots de passe.

En outre, les mesures de prévention du téléchargement automatique peuvent être contournées en ouvrant d’abord un site de confiance sous forme de pop-up, puis en l’utilisant pour télécharger un fichier malveillant.

De même, un URI « blob : » (par exemple blob://skype.com) peut être exploité pour exécuter un code JavaScript arbitraire, en l’utilisant pour accéder directement à la webcam de la victime sans autorisation.

Au total, les recherches ont permis de découvrir sept vulnérabilités différentes dans Safari –

  • CVE-2020-3852 : Un schéma d’URL peut être incorrectement ignoré lors de la détermination de l’autorisation multimédia d’un site web
  • CVE-2020-3864 : Un contexte d’objet DOM peut ne pas avoir eu une origine de sécurité unique
  • CVE-2020-3865 : Un contexte d’objet DOM de haut niveau peut avoir été considéré à tort comme sûr
  • CVE-2020-3885 : L’URL d’un fichier peut être traitée de manière incorrecte
  • CVE-2020-3887 : L’origine d’un téléchargement peut être incorrectement associée
  • CVE-2020-9784 : Une iframe malveillante peut utiliser les paramètres de téléchargement d’un autre site web
  • CVE-2020-9787 : Un schéma URL contenant un tiret (-) et un point (.) adjacents l’un à l’autre est incorrectement ignoré lors de la détermination de l’autorisation multimédia d’un site web

Si vous utilisez Safari, il est recommandé de maintenir le navigateur à jour et de veiller à ce que les sites web n’aient accès qu’aux paramètres essentiels à leur fonctionnement.

Voir aussi :

février 13, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)