Kwetsbaarheid in Safari kon websites toegang tot webcam geven
Websites die toegang tot de webcam van Safari-gebruikers willen moeten hier normaliter toestemming voor vragen, maar via drie kwetsbaarheden was het mogelijk voor aanvallers om zonder toestemming en interactie van gebruikers de webcam te benaderen en gebruikers te bespioneren.
Apple heeft inmiddels beveiligingsupdates voor de beveiligingslekken uitgebracht. De aanval die onderzoeker Ryan Pickren ontwikkelde liet Safari geloven dat een kwaadaardige website eigenlijk een website was die eerder toestemming van de gebruiker had gekregen om de webcam te benaderen. Apple laat gebruikers per website instellen of die toegang tot de webcam hebben.
"Wanneer een kwaadaardige website cameratoegang wilde, had het zich alleen als een vertrouwde videconferentiewebsite moeten voordoen, zoals Skype of Zoom", merkt Pickren op. Door de drie kwetsbaarheden te combineren was het mogelijk voor kwaadaardige websites om via JavaScript zonder toestemming de camera te benaderen. "Elke JavaScript-code met de mogelijkheid om een pop-up te creëren had deze aanval kunnen uitvoeren", aldus de onderzoeker.
Pickren waarschuwde Apple, dat de bugs als een "netwerkaaval zonder gebruikersinteractie" bestempelde en de onderzoeker met 75.000 dollar beloonde. Het probleem speelde zowel bij Safari voor iOS als macOS. Apple verhielp de problemen in Safari 13.0.5 die eind januari uitkwam.
Enige weken terug loofde XS4ALL een prijsvraag uit en kon de klant een security en privacy pakketje winnen.
De winnaars kregen in het pakket vandaag toegestuurd de volgende zaken:
1) Een USB Data Blocker: die kun je gebruiken via een usb-aansluiting voor je phone bijvoorbeeld. De andere kant steek je in een publieke oplaadpunt. De Data Blocker voorkomt dat er data van je phone wordt geëxfiltreerd. Je data blijft in je phone.
2) Een webcam cover om de camera af te sluiten aan de buitenkant, waardoor hackers niet meer kunnen meekijken.
3) Een RFID- Blocking Card die je in je pasjeshouder steekt, waardoor data exfiltratie van geld van je pas of andere vertrouwelijke privacy zaken op je ID-kaart niet meer kunnen plaatsvinden.
Vooral de webcam cover komt voor mij als iMac-gebruiker geen dag te vroeg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
