Cómo solo visitar un sitio podría haber pirateado la cámara de su iPhone o MacBook

Si usa un iPhone de Apple o una MacBook, tenemos una noticia alarmante para usted.

Resulta que simplemente visitar un sitio web, no solo sitios maliciosos sino también sitios legítimos que cargan anuncios maliciosos sin saberlo, usar el navegador Safari podría haber permitido a los atacantes remotos acceder en secreto a la cámara, el micrófono o la ubicación de su dispositivo y, en algunos casos, guardar contraseñas también.

Apple recientemente pagó una recompensa de $ 75,000 a un hacker ético, Ryan Pickren, quien prácticamente demostró el truco y ayudó a la compañía a parchear un total de siete nuevas vulnerabilidades antes de que cualquier atacante real pudiera aprovecharlas.

Las correcciones se emitieron en una serie de actualizaciones de Safari que abarcan las versiones 13.0.5 (publicada el 28 de enero de 2020) y Safari 13.1 (publicada el 24 de marzo de 2020).

«Si el sitio web malicioso quería acceder a la cámara, todo lo que tenía que hacer era hacerse pasar por un sitio web de videoconferencia de confianza como Skype o Zoom», dijo Pickren.

Cuando se encadenaron, tres de las fallas de Safari informadas podrían haber permitido que los sitios maliciosos se hicieran pasar por cualquier sitio legítimo en el que la víctima confíe y accedieran a la cámara o al micrófono abusando de los permisos que, de otro modo, la víctima otorgaba explícitamente solo al dominio de confianza.

Una cadena de explotación para abusar de los permisos por sitio de Safari

El navegador Safari otorga acceso a ciertos permisos, como cámara, micrófono, ubicación y más, por sitio web. Esto facilita que los sitios web individuales, por ejemplo, Skype, accedan a la cámara sin pedir permiso al usuario cada vez que se inicia la aplicación.

Pero hay excepciones a esta regla en iOS. Si bien las aplicaciones de terceros deben requerir el consentimiento explícito del usuario para acceder a la cámara, Safari puede acceder a la cámara o a la galería de fotos sin solicitar permiso.

Específicamente, el acceso inapropiado es posible al aprovechar una cadena de explotación que unió múltiples fallas en la forma en que el navegador analizó los esquemas de URL y manejó la configuración de seguridad por sitio web. Este método solo funciona con sitios web que están actualmente abiertos.

«Una observación más importante fue que el esquema de la URL se ignora por completo», señaló Pickren. «Esto es problemático porque algunos esquemas no contienen un nombre de host significativo, como archivo:, javascript: o datos:».

Dicho de otra manera, Safari no comprobó si los sitios web se adhirieron a la política del mismo origen, lo que otorgó acceso a un sitio diferente que no debería haber obtenido permisos en primer lugar. Como resultado, un sitio web como «https://example.com» y su equivalente malicioso «fake: //example.com» podrían terminar teniendo los mismos permisos.

Por lo tanto, al aprovechar el análisis perezoso del nombre de host de Safari, fue posible usar un «archivo:» URI (por ejemplo, archivo: ///ruta/a/archivo/index.html) para engañar al navegador para que cambie el nombre de dominio usando JavaScript.

«Safari cree que estamos en skype.com y puedo cargar JavaScript malicioso. La cámara, el micrófono y el uso compartido de pantalla se ven comprometidos cuando abres mi archivo HTML local», dijo Pickren.

La investigación encontró que incluso las contraseñas de texto sin formato pueden robarse de esta manera, ya que Safari utiliza el mismo enfoque para detectar sitios web en los que se debe aplicar el autocompletado de contraseñas.

Además, las prevenciones de descarga automática se pueden omitir abriendo primero un sitio confiable como una ventana emergente y evaluando su uso para descargar un archivo malicioso.

Del mismo modo, un URI «blob:» (por ejemplo, blob: //skype.com) puede explotarse para ejecutar código JavaScript arbitrario, usándolo para acceder directamente a la cámara web de la víctima sin permiso.

En total, la investigación descubrió siete vulnerabilidades diferentes de día cero en Safari:

  • CVE-2020-3852: un esquema de URL puede ignorarse incorrectamente al determinar el permiso multimedia para un sitio web
  • CVE-2020-3864: Es posible que un contexto de objeto DOM no haya tenido un origen de seguridad único
  • CVE-2020-3865: Es posible que un contexto de objeto DOM de nivel superior se haya considerado seguro incorrectamente
  • CVE-2020-3885: la URL de un archivo puede procesarse incorrectamente
  • CVE-2020-3887: El origen de una descarga puede estar asociado incorrectamente
  • CVE-2020-9784: un iframe malicioso puede usar la configuración de descarga de otro sitio web
  • CVE-2020-9787: Un esquema de URL que contiene un guión (-) y un punto (.) adyacentes entre sí se ignora incorrectamente al determinar el permiso multimedia para un sitio web

Si es un usuario de Safari, se recomienda que mantenga el navegador actualizado y se asegure de que los sitios web tengan acceso solo a las configuraciones que son esenciales para que funcionen.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática