Chỉ truy cập trang web có thể bị hacker hack camera iPhone hoặc MacBook?
Theo một tin tức từ The Hacker News, một thủ thuật hack mới có thể làm người dùng Apple iPhone hoặc MacBook có thể bị hack camera chỉ bằng việc truy cập trang web. Nếu đang sử dụng iPhone hoặc MacBook, người dùng cần nên chú ý.
Điều đáng lưu ý là chỉ đơn thuần truy cập một trang web chứ không chỉ các trang web độc hại mà cả những trang web hợp pháp cũng vô tình tải những quảng cáo độc hại. Sử dụng trình duyệt Safari có thể cho phép kẻ tấn công từ xa ngầm truy cập vào máy ảnh camera, micro hoặc vị trí của bạn, thậm chí là trong một số trường hợp còn có thể lưu mật khẩu.
Apple gần đây đã trả một khoản tiền thưởng trị giá 75.000 USD cho một hacker mũ trắng, Ryan Pickren, người đã chứng minh thực tế thủ thuật hack và giúp công ty vá lỗi thành công tổng cộng 7 lỗ hổng bảo mật mới trước khi bất kỳ kẻ tấn công thực tế nào khai thác lỗ hống bảo mật.
Bản vá được phát hành trong một chuỗi những cập nhật Safari phiên bản 13.0.5 (phát hành ngày 28/1/2020) và Safari 13.1 (phát hành ngày 24/3/2020).
Pickren cho biết, Nếu trang web độc hại muốn truy cập vào máy ảnh camera, tất cả những gì nó cần thực hiện là giả dạng thành một website họp video trực tuyến như Skype hoặc Zoom.
Khi được kết nối với nhau, 3 trong các lỗ hổng bảo mật Safari được thông báo có thể cho phép các trang web độc hại mạo danh bất kỳ trang web hợp pháp nào mà nạn nhân tin tưởng và truy cập vào máy ảnh, micro bằng cách lạm dụng các quyền mà nạn nhân chỉ cấp cho các tên miền tin cậy.
Chuỗi các lỗ hổng bảo mật được khai thác để lạm dụng quyền trên mỗi trang web của Safari
Trình duyệt web Safari cấp quyền truy cập vào một số quyền nhất định như máy ảnh, micro, vị trí và hơn thế nữa trên cơ sở của mỗi trang web. Điều này giúp Skype dễ dàng truy cập máy ảnh camera cá nhân mà không cần xin phép người dùng mỗi khi ứng dụng khởi chạy.
Thế nhưng cũng có những ngoại lệ cho các quy tắc này trên iOS. Mặc dù các ứng dụng của bên thứ 3 phải yêu cầu sự đồng ý rõ ràng của người dùng để truy cập vào máy ảnh, Safari có thể truy cập vào máy ảnh hoặc thư viện ảnh mà không cần bất kỳ lời thông báo nào yêu cầu cho phép.
Cụ thể là có thể truy cập không đúng cách bằng cách tận dụng các chuỗi khai thác xâu chuỗi nhiều lỗ hổng theo cách mà trình duyệt web phân tích cú pháp URL và xử lý các cài đặt bảo mật trên cơ sở mỗi trang web. Phương pháp này chỉ hoạt động với các trang web hiện đang mở.
Một điều đáng quan trọng hơn là lược đồ của URL hoàn toàn bị bỏ qua. Điều này có vấn đề vì một số lượt đồ hoàn toàn không chứa các tên máy chủ có ý nghĩa, chẳng hạn như các tệp : javascript; hoặc dữ liệu’
Nói một cách khác là Safari đã thất bại trong việc kiểm tra xem các trang web có tuân thủ chính sách bảo mật hay có cùng nguồn gốc hay không, do đó cấp quyền truy cập vào một trang web khác không nên có quyền. Do đó, một trang web như "https://example.com" và đối tác độc hại của nó "fake: //example.com" có thể có cùng quyền.
Do đó, bằng cách tận dụng phân tích tên máy chủ lười biếng của Safari, có thể sử dụng "tệp:" URI (ví dụ: tệp: ///path/to/file/index.html) để đánh lừa trình duyệt thay đổi tên miền bằng cách sử dụng JavaScript.
"Safari nghĩ rằng chúng tôi đang ở trên skype.com và tôi có thể tải một số JavaScript xấu. Máy ảnh camera, micro và chia sẻ màn hình đều bị xâm phạm khi bạn mở tệp HTML cục bộ của mình", Pickren nói.
Nghiên cứu cho thấy rằng ngay cả mật khẩu văn bản gốc cũng có thể bị đánh cắp theo cách này vì Safari sử dụng cùng một cách tiếp cận để phát hiện các trang web mà mật khẩu tự động cần được áp dụng.
Hơn nữa, các biện pháp ngăn chặn tải xuống tự động có thể được bỏ qua bằng cách trước tiên mở một trang web đáng tin cậy dưới dạng cửa sổ bật lên và sau đó sử dụng nó để tải xuống một tệp độc hại.
Tương tự, URI "blob:" (ví dụ: blob: //skype.com) có thể được khai thác để chạy mã JavaScript tùy ý, sử dụng nó để truy cập trực tiếp vào webcam của nạn nhân mà không được phép.
Nói chung, nghiên cứu đã phát hiện ra bảy lỗ hổng zero-day khác nhau trong Safari -
CVE-2020-3852: Lược đồ URL có thể bị bỏ qua không chính xác khi xác định quyền đa phương tiện cho trang web
CVE-2020-3864: Một bối cảnh đối tượng DOM có thể không có nguồn gốc bảo mật duy nhất
CVE-2020-3865: Bối cảnh đối tượng DOM cấp cao nhất có thể được coi là không an toàn
CVE-2020-3885: URL tệp có thể được xử lý không chính xác
CVE-2020-3887: Nguồn gốc của bản tải xuống có thể được liên kết không chính xác
CVE-2020-9784: Khung nội tuyến độc hại có thể sử dụng cài đặt tải xuống của trang web khác
CVE-2020-9787: Lược đồ URL chứa dấu gạch ngang (-) và dấu chấm (.) Liền kề với nhau bị bỏ qua không chính xác khi xác định quyền đa phương tiện cho trang web
Nếu bạn là người dùng Safari, bạn nên luôn cập nhật trình duyệt và đảm bảo các trang web chỉ được cấp quyền truy cập vào những cài đặt cần thiết để chúng hoạt động.
Minh Hương – Theo The Hacker News
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Khi chuỗi cung ứng bị tấn công: Tác động và bài họ...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Bối cảnh mối đe dọa an ninh mạng: Những mối đe dọa...
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- NTS trao 150 quà tặng cho các em học sinh vượt khó...