Webcamera Apple was over te nemen

Logo Apple-websurfer SafariHet websurfprogramma Safari van Apple was lek. Die lekken zijn gerepareerd, maar het lijkt er op dat heel wat webcamera’s van Applecomputers in handen van onbevoegden zijn gevallen. Een verhaal in een eindeloze reeks.
Apple heeft een goede naam op te houden als het gaat om digitale veiligheid, maar de laatste jaren zijn er nog wel wat gaten in dat ooit onneembaar geachte bastion geschoten. Onlangs meldde een veiligheidsonderzoeker dat Safari die kwetsbaarheden bevatte, waardoor de webcamera en de microfoon in iOS en macOS-apparaten zouden kunnen worden overgenomen. Die gaten zijn inmiddels gedicht, maar vooraleer het zo ver was zou er op grote schaal misbruik van gemaakt te zijn.
“Safari moedigt gebruikers aan hun webbezoekvoorkeuren te bewaren,” zegt ontdekker Ryan Pickren, “zoals of je Skype vertrouwt je microsfoon en camera te gebruiken. Een aanvaller kon een kwalijke webstek bouwen die zich voordoet als Skype. Die kreeg dan alle toestemmingen die aan Skype waren verleend. Dat betekent dat de aanvaller opnames kon maken je microfoon kon aanzetten of zelfs schermdeling.”
De fouten waren volgens Pickren alle het gevolg van vergissinkjes. Zo ontdekte hij dat de machtiginslijst van Safari alle variaties van het webadres (URL) opvatte als dezelfde lokatie zoals https://www.voorbeeld.be, http://voorbeeld.be, en nep://voorbeeld.be. Door een beetje te rommelen kon de aanvaller bepaalde ULRs maken die met de meegeleverde scripts van Safari werken. “Dat bracht het webprogramma van zijn stuk en die sloeg op een gegeven moment ‘wartaal’ uit. Die gaten konden op de een of andere manier van de een naar de volgende overspringen. Deel van het probleem is dat sommige fouten er al heel lang zaten in de Webkit-kern van jaren geleden. Die waren waarschijnlijk niet zo gevaarlijk als nu omdat die nu achter elkaar gezet door een aanvaller gebruikt kunnen worden.”

Kwalijke koppeling

En het is altijd weer een kwalijke koppeling die, als je er op klikt, allerlei ongerief in gang zet, zoals in dit geval het aanzetten van de camera of van de microfoon om opnames te maken. Die truc werkte zowel op Appletelefoons, als -tablets en -computers. Geen van de fouten zaten in de microfoon- of webcambescherming zelf of in de mogelijkheid binnen Safari het gebruik van sensoren door weblokaties te blokkeren. De aanval omzeilde al die verdedigingslinies door een knappe vermomming.

Pickren maakte zijn bevindingen half december bekend aan Apple. Naast de drie fouten in Safari vond hij er ‘onderweg’ nog meer. Dat hij die vond kwam doordat hij de ‘aanvalsketen’ doorliep waar een aanvaller gebruik van kon maken. Apple heeft zijn foutenpremieprogramma inmiddels uitgebreid tot meer producten en diensten. Pickren heeft zelf 75 000 dollar overgehouden aan de ontdekking.

Bron: Wired</em>

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.