Websites die toegang tot de webcam van Safari-gebruikers willen moeten hier normaliter toestemming voor vragen, maar via drie kwetsbaarheden was het mogelijk voor aanvallers om zonder toestemming en interactie van gebruikers de webcam te benaderen en gebruikers te bespioneren.
Apple heeft inmiddels beveiligingsupdates voor de beveiligingslekken uitgebracht. De aanval die onderzoeker Ryan Pickren ontwikkelde liet Safari geloven dat een kwaadaardige website eigenlijk een website was die eerder toestemming van de gebruiker had gekregen om de webcam te benaderen. Apple laat gebruikers per website instellen of die toegang tot de webcam hebben.
"Wanneer een kwaadaardige website cameratoegang wilde, had het zich alleen als een vertrouwde videconferentiewebsite moeten voordoen, zoals Skype of Zoom", merkt Pickren op. Door de drie kwetsbaarheden te combineren was het mogelijk voor kwaadaardige websites om via JavaScript zonder toestemming de camera te benaderen. "Elke JavaScript-code met de mogelijkheid om een pop-up te creëren had deze aanval kunnen uitvoeren", aldus de onderzoeker.
Pickren waarschuwde Apple, dat de bugs als een "netwerkaaval zonder gebruikersinteractie" bestempelde en de onderzoeker met 75.000 dollar beloonde. Het probleem speelde zowel bij Safari voor iOS als macOS. Apple verhielp de problemen in Safari 13.0.5 die eind januari uitkwam.
Deze posting is gelocked. Reageren is niet meer mogelijk.