Pratite nas preko RSS-aZbog bagova u Safariju, vaš MacBook ili iPhone mogu biti hakovani ako samo posetite zlonamerni veb sajt
Vesti, 06.04.2020, 11:00 AM
Ako koristite iPhone ili MacBook, onda bi ovo trebalo da znate.
Poseta veb sajtu, i to ne samo zlonamernom, već i legitimnom koji učitava zlonamerne reklame, i to preko Safari pregledača, mogla bi da omogući napadačima da pristupe kameri, mikrofonu ili lokaciji vašeg uređaja, a u nekim slučajevima i sačuvanim lozinkama.
Apple je nedavno isplatio nagradu u iznosu od 75000 dolara hakeru Rajanu Pikrenu, koji je pokazao kako napad funkcioniše i pomogao kompaniji da zakrpi ukupno sedam novih ranjivosti pre nego što su ih napadači mogli iskoristiti.
Ispravke su objavljene u nizu ažuriranja za verzije 13.0.5 Safari (objavljene 28. januara 2020.) i Safari 13.1 (objavljene 24. marta 2020.).
“Ako je zlonamerni veb sajt želeo pristup kameri, sve što je trebalo je bilo je da se maskira u pouzdani veb sajt za video-konferencije, kao što su Skype ili Zoom”, rekao je Pikren.
Zajedno, tri prijavljena baga Safarija mogla su omogućiti zlonamernim sajtovima da se lažno predstave kao legitmni sajt kome žrtva veruje i da pristupe kameri ili mikrofonu zloupotrebljavajući dozvole koje je žrtva dala samo pouzdanom domenu.
Safari omogućava pristup određenim dozvolama kao što su kamera, mikrofon, lokacija i druge. To olakšava pojedinačnim veb sajtovima, recimo Skypeu, pristup kameri bez traženja odobrenja korisnika prilikom svakog pokretanja aplikacije.
Ali postoje izuzeci od ovog pravila na iOS-u. Iako aplikacije drugih proizvođača moraju zahtevati izričito odobrenje korisnika za pristup kameri, Safari može pristupiti kameri ili fotogaleriji bez ikakvih upita za dozvolu.
To je moguće korišćenjem niza povezanih bezbednosnih propusta. Safari omogućava pristup veb sajtu koji ne bi trebalo da dobije dozvole za pristup kameri i mikrofonu. Recimo, veb sajt poput „https://example.com“ i njegov zlonamerni kolega „fake://example.com“ mogu na kraju dobiti iste dozvole.
“Safari misli da se nalazimo na skype.com i ja mogu učitati neki “zli” JavaScript. Kamera, mikrofon i deljenje ekrana su ugroženi kada otvorite moj lokalni HTML fajl”, rekao je Pikren.
Istraživanje je otkrilo da se čak i lozinke mogu ukrasti na ovaj način, jer Safari koristi isti pristup kako bi otkrio veb sajtove na kojima se mora primeniti automatsko popunjavanje lozinke.
Sprečavanja automatskog preuzimanja mogu se zaobići tako što se prvo otvori pouzdani veb sajt kao iskačući prozor, a zatim se iskoristi za preuzimanje zlonamernog fajla.
Ako ste korisnik Safarija, preporučuje se da ažurirate pregledač i proverite da li veb sajtovi imaju pristup samo onim podešavanjima koja su im neophodna.
Izdvojeno
Ugašena C2 infrastruktura botneta koji su zarazili preko tri miliona uređaja
Zajednička akcija vlasti iz SAD, Nemačke i Kanade rezultirala je gašenjem komandno-kontrolne (C2) infrastrukture koju su koristili botneti Aisuru, ... Dalje
Vidar 2.0: Majstor digitalne krađe širi se među gejmerima sa GitHuba i Reddita
Istraživači iz Acronis TRU upozoravaju na novu kampanju koja cilja pre svega mlađe gejmere, koristeći lažne varalice za popularne igre poput Fort... Dalje
INTERPOL upozorava: veštačka inteligencija podstiče finansijske prevare širom sveta
Novi izveštaj INTERPOL-a ukazuje na ubrzanu evoluciju globalnih finansijskih prevara, koje postaju sve sofisticiranije zahvaljujući veštačkoj inte... Dalje
Kalendarske pozivnice postaju novi alat za krađu podataka
Sajber kriminalci sve češće zloupotrebljavaju kalendarske pozivnice kako bi zaobišli inbox i direktno isporučili lažne fakture žrtvama, upozora... Dalje
Napadi na Signal naloge širom sveta: hakeri koriste poznate trikove socijalnog inženjeringa
Signal je upozorio na ciljane napade u kojima hakeri preuzimaju korisničke naloge putem socijalnog inženjeringa, dok sama enkripcija i infrastruktur... Dalje
Pratite nas
Nagrade
Prijatelji
