Kwetsbaarheid in Safari kon websites toegang tot webcam geven
Websites die toegang tot de webcam van Safari-gebruikers willen moeten hier normaliter toestemming voor vragen, maar via drie kwetsbaarheden was het mogelijk voor aanvallers om zonder toestemming en interactie van gebruikers de webcam te benaderen en gebruikers te bespioneren.
Apple heeft inmiddels beveiligingsupdates voor de beveiligingslekken uitgebracht. De aanval die onderzoeker Ryan Pickren ontwikkelde liet Safari geloven dat een kwaadaardige website eigenlijk een website was die eerder toestemming van de gebruiker had gekregen om de webcam te benaderen. Apple laat gebruikers per website instellen of die toegang tot de webcam hebben.
"Wanneer een kwaadaardige website cameratoegang wilde, had het zich alleen als een vertrouwde videconferentiewebsite moeten voordoen, zoals Skype of Zoom", merkt Pickren op. Door de drie kwetsbaarheden te combineren was het mogelijk voor kwaadaardige websites om via JavaScript zonder toestemming de camera te benaderen. "Elke JavaScript-code met de mogelijkheid om een pop-up te creëren had deze aanval kunnen uitvoeren", aldus de onderzoeker.
Pickren waarschuwde Apple, dat de bugs als een "netwerkaaval zonder gebruikersinteractie" bestempelde en de onderzoeker met 75.000 dollar beloonde. Het probleem speelde zowel bij Safari voor iOS als macOS. Apple verhielp de problemen in Safari 13.0.5 die eind januari uitkwam.
Enige weken terug loofde XS4ALL een prijsvraag uit en kon de klant een security en privacy pakketje winnen.
De winnaars kregen in het pakket vandaag toegestuurd de volgende zaken:
1) Een USB Data Blocker: die kun je gebruiken via een usb-aansluiting voor je phone bijvoorbeeld. De andere kant steek je in een publieke oplaadpunt. De Data Blocker voorkomt dat er data van je phone wordt geëxfiltreerd. Je data blijft in je phone.
2) Een webcam cover om de camera af te sluiten aan de buitenkant, waardoor hackers niet meer kunnen meekijken.
3) Een RFID- Blocking Card die je in je pasjeshouder steekt, waardoor data exfiltratie van geld van je pas of andere vertrouwelijke privacy zaken op je ID-kaart niet meer kunnen plaatsvinden.
Vooral de webcam cover komt voor mij als iMac-gebruiker geen dag te vroeg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
