Los defectos de Safari permiten que los hackers espíen tu Mac y iPhone

Los productos y servicios de Apple generalmente se consideran seguros, pero las fallas en el navegador Safari podrían dañar esa reputación.

Los hackers encontraron una forma de tomar el control de los micrófonos y cámaras de una Mac o iPhone explotando los errores del navegador Safari. El problema se deriva de permisos Safari pide a los usuarios conceder a determinados sitios web, Ryan Pickren, el investigador de seguridad que dio a conocer el fallo a Apple, explicó a Wired .

Usando un enlace malicioso, los atacantes podrían engañar a los usuarios para que abran un sitio web que se disfrazaría como uno al que ya se le concedieron permisos de micrófono y cámara. El defectuoso navegador Safari no es lo suficientemente inteligente como para saber que era falso, por lo que el navegador entregaría el acceso de micrófono y cámara al sitio malicioso y les daría a los malos actores la capacidad de espiarlo.

Mejor opción

HP 15-db0092ns - Ordenador portátil 15.6 HD

HP 15-db0092ns - Ordenador portátil 15.6 HD (AMD A4-9125 Dual-Core, 4 GB RAM, 1 TB SATA, AMD Radeon R3, Windows 10 Home) Negro - Teclado QWERTY Español en Amazon

Mejor relación calidad precio

HP 15s-eq0004ns - Ordenador portátil de 15.6 HD

HP 15s-eq0004ns - Ordenador portátil de 15.6 HD (AMD Ryzen 3 3200U, 8 GB RAM, 256 GB, AMD Radeon Vega 3, Windows 10 Home) Blanco - Teclado QWERTY Español en Amazon

HP Gaming Pavilion 15-ec0005ns - Ordenador portátil de 15.6

HP Gaming Pavilion 15-ec0005ns - Ordenador portátil de 15.6 FHD (AMD Ryzen 5 3550H, 8 GB RAM, 512 GB SSD, gráficos NVIDIA GeForce GTX 1050-3G, Sin sistema operativo) negro - Teclado QWERTY Español en Amazon

Huawei Matebook D15 - Ordenador Portátil de 15.6 FullHD

Huawei Matebook D15 - Ordenador Portátil de 15.6 FullHD (AMD Ryzen 5 3500u, Multi-Screen Collaboration, 8GB RAM, 256GB SSD. Windows 10 Home), Mystic Silver, Teclado Qwerty Español en Amazon

Acer Aspire 3 - Ordenador Portátil de 15.6 FHD Comfy

Acer Aspire 3 - Ordenador Portátil de 15.6 FHD Comfy View LED LCD (Intel Core i5-6200U, 8 GB de RAM, SSD de 512GB, Sin sistema operativo) negro - Teclado QWERTY Español en Amazon

ASUS K543BA-GQ749 - Portátil de 15.6 HD (A9-9425, 8GB

ASUS K543BA-GQ749 - Portátil de 15.6 HD (A9-9425, 8GB RAM, 256GB SSD, AMD Radeon Graphics, sin sistema operativo) Gris Estrella - Teclado QWERTY Español en Amazon

HP 14s-dq1008ns - Ordenador portátil de 14 FHD (Intel

HP 14s-dq1008ns - Ordenador portátil de 14 FHD (Intel Core i5-1035G1, 8 GB RAM, 512 GB SSD, tarjeta gráfica integrada, sin Sistema operativo) gris - Teclado QWERTY Español en Amazon

HP Pavilion x360 - 14-dh1011ns - Ordenador portátil de 14

HP Pavilion x360 - 14-dh1011ns - Ordenador portátil de 14 FullHD (Intel Core i3-10110U, 4GB de RAM, 128 GB SSD, Intel UHD Graphics, Windows 10) Plata ceniza - teclado QWERTY Español en Amazon

ASUS ZenBook 14 UX431FA-AM132T - Portátil de 14

ASUS ZenBook 14 UX431FA-AM132T - Portátil de 14 FullHD (Intel Core i5-10210U, 8GB RAM, 512GB SSD, Intel UHD, Windows 10) Metal Azul Plata - Teclado QWERTY Español en Amazon

Lenovo 81HL004XSP Portatil V130, 15.6 HD (1366x768)

Lenovo 81HL004XSP Portatil V130, 15.6 HD (1366x768), Intel Celeron N4000, 4GB RAM, 256GB SSD en Amazon

La razón por la que Safari no puede distinguir un sitio falso de uno real tiene que ver con la forma en que el navegador trata las variaciones de URL: https://www.example.com, http://example.com y fake: // ejemplo .com – como parte del mismo sitio web.

"Simplemente martilleé el navegador con casos realmente extraños hasta que Safari se confundió y dio un origen que no tenía sentido", dijo Pickren a Wired. "Y eventualmente los errores podrían rebotar de uno a otro. Parte de esto es que algunos de los errores eran defectos muy, muy viejos en el núcleo de WebKit de hace años".

Afortunadamente, Apple corrigió estas vulnerabilidades después de que Pickren los llamó la atención de la compañía. Pickren le contó a Apple acerca de siete vulnerabilidades a mediados de diciembre y fueron validadas al día siguiente. Los parches se lanzaron en las actualizaciones de enero y marzo y Pickren recibió una recompensa de $ 75,000 como parte del programa de recompensas por errores de Apple.

Apple tiene la suerte de que Pickren reveló estos problemas cuando lo hizo. Si fuera más tarde, los defectos podrían haber surgido en un momento en que más personas trabajan desde casa que nunca. La dependencia de la fuerza laboral global en aplicaciones de videoconferencia que necesitan acceso a su micrófono y cámara se ha disparado durante la pandemia de coronavirus. Al solucionar esos problemas temprano, Apple pudo haber esquivado el tipo de pesadilla de seguridad en la que Zoom se encuentra actualmente .