独立系セキュリティ研究者のライアン・ピックレン氏は、悪意のあるウェブサイトがiOSおよびmacOS上のAppleのSafariブラウザをハッキングし、許可を求めることなくコンピューターのカメラを通じてユーザーをスパイする方法を明らかにした。
ピックレン氏は、アップルがこのバグを「機密データへのワンクリックによる部分的リモートアクセス」と分類し、同社のセキュリティ報奨金制度の条件に基づき7万5000ドルの報奨金を支払ったと述べた。
AppleはSafari 13.1の問題を修正し、パッチリリースノートで3件のバグ報告についてPickren氏を称賛しました。Appleが指摘した3つの脆弱性は、「悪意のあるiframeが別のウェブサイトのダウンロード設定を利用する可能性がある」「ダウンロード元が誤って関連付けられる可能性がある」「ファイルのURLが誤って処理される可能性がある」です。修正は2020年3月24日に実施されており、脆弱性のあるSafariのバージョンは13.0.4です。まだこのバージョンをお使いの方は、今すぐアップデートしてください。
Pickren 氏は、セキュリティ問題の概念実証デモをホストするために設計されたサイト BugPoC の創設者です。
ピックレン氏は自身のハックを詳細なウォークスルーで解説しており、ハッカーがどのように調査を進めるかを示す例として読むのに良い資料となっています。彼は、めったに使用されない仕様に欠陥を発見しました。ブラウザは他のコードとの互換性を保つために、これらの仕様を実装する必要がありますが、ブラウザAPIの一般的な部分ほど注目されていません。
何もすることがなくて家に閉じこもっている?AppleがiOS、macOS、リスト型コンピュータ、そしてiTunes for Windowsという奇妙なものにセキュリティ修正プログラムをリリース
続きを読む
ブラウザで実行されるアプリケーションの機能向上に伴い、ウェブブラウザは広範な権限を持つようになり、それらはオペレーティングシステムではなくブラウザによって保護されています。SkypeやZoomなどのサービスを使用するためにSafariにカメラへのアクセスを許可した場合、悪意のあるサイトに同様の権限が付与されるかどうかはSafariが制御します。Pickren氏は、Safariを欺いて信頼できないサイトをskype.comドメインのサイトとして認識させる方法を模索しました。
彼は、file://で始まるURI用の、あまり使われていないファイルプロトコルがSafariで適切に処理されていないことを発見しました。ローカルファイルを読み込み、skype.comのホスト名を割り当てることで、必要な権限を与えることができました。
しかし、ローカルファイルを悪用するだけでは不十分で、ダウンロードも自動化する必要がありました。ピックレン氏は、BLOBオブジェクトの処理方法にさらなる欠陥があることを指摘しました。ブラウザ履歴とiFrameに少し手を加えただけで、「blob://skype.com hrefと任意のJavaScriptコンテンツを含むサンドボックス化されたiFrameができました。window.open() によるシンプルなポップアップが栄光への最終ステップです」とピックレン氏は述べました。この場合の栄光とは、彼にとっての報酬であり、ウェブブラウザにスーパーパワーを与えることはリスクなしにはあり得ないことを私たち全員に思い出させることです。®
