Apple heeft vorig jaar een nieuwe reeks macOS-kwetsbaarheden verholpen die de Safari-browser blootstelden aan aanvallen, waardoor kwaadwillende actoren mogelijk toegang kregen tot de online accounts, microfoon en webcam van gebruikers.
Beveiligingsonderzoeker Ryan Pickren, die de bugs ontdekte en aan de iPhone-maker rapporteerde, werd gecompenseerd met een bugbounty van $ 100.500, wat de ernst van de problemen onderstreept.
Door gebruik te maken van een reeks beveiligingsproblemen met iCloud Sharing en Safari 15, kan de aanvaller de multimediatoestemming kapen en “volledige toegang krijgen tot elke website die ooit door het slachtoffer is bezocht” in Safari, inclusief Gmail-, iCloud-, Facebook- en PayPal-accounts .
De problemen hebben specifiek betrekking op ShareBear, een iCloud-mechanisme voor het delen van bestanden dat gebruikers vraagt wanneer ze voor de eerste keer proberen een gedeeld document te openen. Door gebruik te maken van het feit dat gebruikers nooit meer de prompt te zien krijgen als ze het bestand willen openen, ontdekte Pickren dat het mogelijk is om de inhoud van het bestand te wijzigen door iedereen die toegang heeft tot het bestand.
“ShareBear zal het bestand vervolgens downloaden en bijwerken op de computer van het slachtoffer zonder enige gebruikersinteractie of kennisgeving,” Pickren uitgelegd in een technisch verslag. “In wezen heeft het slachtoffer de aanvaller toestemming gegeven om een polymorf bestand op hun machine te plaatsen en de toestemming om het op elk moment op afstand te starten.”
Met andere woorden, van een afbeeldingsbestand met een .PNG-indeling kan de volledige inhoud en extensie worden gewijzigd in een uitvoerbaar binair bestand (“evil.dmg”) nadat de gebruiker ermee heeft ingestemd het te openen. Het binaire bestand kan vervolgens worden gelanceerd, waardoor een exploitketen wordt geactiveerd die gebruikmaakt van extra fouten die in Safari zijn ontdekt om de microfoon of webcam van de machine over te nemen, of zelfs lokale bestanden te stelen –
- CVE-2021-30861 – Een logisch probleem in WebKit waardoor een kwaadwillende toepassing Gatekeeper-controles kan omzeilen
- CVE-2021-30975 – Een probleem in Script Editor waardoor een kwaadwillende OSAX scripting toevoeging om Gatekeeper-controles te omzeilen en sandbox-beperkingen te omzeilen
Dit is de tweede keer dat Pickren gebreken in iOS en macOS aan het licht brengt die, indien succesvol misbruikt, kunnen worden misbruikt om op ongeoorloofde wijze toegang te krijgen tot de camera bij een bezoek aan een speciaal ontworpen website.
“Dit project was een interessante verkenning van hoe een ontwerpfout in een applicatie ervoor kan zorgen dat een aantal andere, niet-gerelateerde bugs gevaarlijker worden”, aldus Pickren. “Het was ook een goed voorbeeld van hoe zelfs met macOS Gatekeeper ingeschakeld, een aanvaller nog steeds veel kattenkwaad kan uithalen door goedgekeurde apps te misleiden om kwaadaardige dingen te doen.”
