Los defectos de Safari permiten que los hackers espíen tu Mac y iPhone

Los productos y servicios de Apple generalmente se consideran seguros, pero las fallas en el navegador Safari podrían dañar esa reputación.

Los hackers encontraron una forma de tomar el control de los micrófonos y cámaras de una Mac o iPhone explotando los errores del navegador Safari. El problema se deriva de permisos Safari pide a los usuarios conceder a determinados sitios web, Ryan Pickren, el investigador de seguridad que dio a conocer el fallo a Apple, explicó a Wired .

Usando un enlace malicioso, los atacantes podrían engañar a los usuarios para que abran un sitio web que se disfrazaría como uno al que ya se le concedieron permisos de micrófono y cámara. El defectuoso navegador Safari no es lo suficientemente inteligente como para saber que era falso, por lo que el navegador entregaría el acceso de micrófono y cámara al sitio malicioso y les daría a los malos actores la capacidad de espiarlo.

La razón por la que Safari no puede distinguir un sitio falso de uno real tiene que ver con la forma en que el navegador trata las variaciones de URL: https://www.example.com, http://example.com y fake: // ejemplo .com – como parte del mismo sitio web.

"Simplemente martilleé el navegador con casos realmente extraños hasta que Safari se confundió y dio un origen que no tenía sentido", dijo Pickren a Wired. "Y eventualmente los errores podrían rebotar de uno a otro. Parte de esto es que algunos de los errores eran defectos muy, muy viejos en el núcleo de WebKit de hace años".

Afortunadamente, Apple corrigió estas vulnerabilidades después de que Pickren los llamó la atención de la compañía. Pickren le contó a Apple acerca de siete vulnerabilidades a mediados de diciembre y fueron validadas al día siguiente. Los parches se lanzaron en las actualizaciones de enero y marzo y Pickren recibió una recompensa de € 75,000 como parte del programa de recompensas por errores de Apple.

Apple tiene la suerte de que Pickren reveló estos problemas cuando lo hizo. Si fuera más tarde, los defectos podrían haber surgido en un momento en que más personas trabajan desde casa que nunca. La dependencia de la fuerza laboral global en aplicaciones de videoconferencia que necesitan acceso a su micrófono y cámara se ha disparado durante la pandemia de coronavirus. Al solucionar esos problemas temprano, Apple pudo haber esquivado el tipo de pesadilla de seguridad en la que Zoom se encuentra actualmente .

Publicaciones Similares