Los defectos de Safari permiten que los hackers espíen tu Mac y iPhone

Los productos y servicios de Apple generalmente se consideran seguros, pero las fallas en el navegador Safari podrían dañar esa reputación.

Los hackers encontraron una forma de tomar el control de los micrófonos y cámaras de una Mac o iPhone explotando los errores del navegador Safari. El problema se deriva de permisos Safari pide a los usuarios conceder a determinados sitios web, Ryan Pickren, el investigador de seguridad que dio a conocer el fallo a Apple, explicó a Wired .

Usando un enlace malicioso, los atacantes podrían engañar a los usuarios para que abran un sitio web que se disfrazaría como uno al que ya se le concedieron permisos de micrófono y cámara. El defectuoso navegador Safari no es lo suficientemente inteligente como para saber que era falso, por lo que el navegador entregaría el acceso de micrófono y cámara al sitio malicioso y les daría a los malos actores la capacidad de espiarlo.

Mejor opción

Lenovo IdeaPad 3 - Portátil 15.6

Lenovo IdeaPad 3 - Portátil 15.6 en Amazon

Mejor relación calidad precio

Laptop de 15.6 Pulgadas (Intel Celeron de 64 bits, 8GB DDR3

Laptop de 15.6 Pulgadas (Intel Celeron de 64 bits, 8GB DDR3 RAM, SSD de 128GB, batería de 10000mAH, cámara Web HD, Sistema operativo Windows 10 preinstalado, Pantalla IPS FHD 1920 * 1080) en Amazon

HP 15s-eq0025ns - Ordenador portátil de 15.6

HP 15s-eq0025ns - Ordenador portátil de 15.6 en Amazon

Laptop de 14 Pulgadas (Intel N3060 N3350 de 64 bits, 4GB

Laptop de 14 Pulgadas (Intel N3060 N3350 de 64 bits, 4GB DDR3 RAM, eMMC de 64GB, batería de 10000mAH, cámara Web HD, Windows 10, Pantalla 1366 * 768 FHD IPS) en Amazon

CHUWI CoreBook Pro Laptop Ordenador portatil Ultrabook 13

CHUWI CoreBook Pro Laptop Ordenador portatil Ultrabook 13 Pulgadas Win 10 Intel Core i3-6157U hasta 2.4Ghz 8GB RAM 256GB SSD 2160*1440 2K, Type-C 2.4G/5G WiFi en Amazon

Acer Chromebook 314 - Portátil 14

Acer Chromebook 314 - Portátil 14 en Amazon

2020 Nuevo! Jumper EZbook S5 14.0 Pulgadas 6GB Ram 64GB SSD

2020 Nuevo! Jumper EZbook S5 14.0 Pulgadas 6GB Ram 64GB SSD CPU N3350 1920 * 1080 FHD IPS 1.25KG Ligero Windows 10 Notebook Windows Laptop en Amazon

Microsoft Surface Laptop Go - Ordenador portátil 2 en 1 de

Microsoft Surface Laptop Go - Ordenador portátil 2 en 1 de 12.4 en Amazon

Microsoft Surface Laptop 3 - Ordenador portátil de 13.5

Microsoft Surface Laptop 3 - Ordenador portátil de 13.5 en Amazon

KingsLong Mochila Portatil 15.6 Pulgada Mochilas Hombre,

KingsLong Mochila Portatil 15.6 Pulgada Mochilas Hombre, Mochila Antirrobo Impermeable, Mochila Ordenador Portatil Backpack para el Laptop, Gris Mochilas en Amazon

La razón por la que Safari no puede distinguir un sitio falso de uno real tiene que ver con la forma en que el navegador trata las variaciones de URL: https://www.example.com, http://example.com y fake: // ejemplo .com – como parte del mismo sitio web.

"Simplemente martilleé el navegador con casos realmente extraños hasta que Safari se confundió y dio un origen que no tenía sentido", dijo Pickren a Wired. "Y eventualmente los errores podrían rebotar de uno a otro. Parte de esto es que algunos de los errores eran defectos muy, muy viejos en el núcleo de WebKit de hace años".

Afortunadamente, Apple corrigió estas vulnerabilidades después de que Pickren los llamó la atención de la compañía. Pickren le contó a Apple acerca de siete vulnerabilidades a mediados de diciembre y fueron validadas al día siguiente. Los parches se lanzaron en las actualizaciones de enero y marzo y Pickren recibió una recompensa de € 75,000 como parte del programa de recompensas por errores de Apple.

Apple tiene la suerte de que Pickren reveló estos problemas cuando lo hizo. Si fuera más tarde, los defectos podrían haber surgido en un momento en que más personas trabajan desde casa que nunca. La dependencia de la fuerza laboral global en aplicaciones de videoconferencia que necesitan acceso a su micrófono y cámara se ha disparado durante la pandemia de coronavirus. Al solucionar esos problemas temprano, Apple pudo haber esquivado el tipo de pesadilla de seguridad en la que Zoom se encuentra actualmente .