iPhone和MacBook的相机被入侵?访问这个网站应注意!

如果您使用Apple iPhone或MacBook,这里有个令人震惊的新闻。

事实证明,使用Safari浏览器访问的有的网站是不合法的恶意网站,它们都可能使远程攻击者秘密访问您设备的摄像头,麦克风或位置,并且在某些情况下还保存了密码。

苹果公司最近向一名白客Ryan Pickren颁发了75,000美元的赏金,他实际上证明了这种黑客行为,并帮助该公司修补了总共七个新漏洞,然后任何真正的攻击者都可以利用它们。

该修复程序是对Safari的一系列更新发布的,这些更新跨越了13.0.5版—2020年1月28日发布和Safari 13.1—发布于2020年3月24日。

皮克伦说:“如果恶意网站想要摄像头访问,它要做的就是伪装成可信任的视频会议网站,例如Skype或Zoom。”

当链接在一起时,三个已报告的Safari漏洞可能允许恶意站点冒充受害人信任的任何合法站点,并通过滥用被害人仅明确授予受信任域的权限来冒充受害人的摄像头或麦克风。

滥用Safari的逐站点权限的漏洞利用链

Safari浏览器基于每个网站授予访问某些权限的权限,例如相机,麦克风,位置等。Skype的功能使各个网站都易于访问相机,而无需在每次启动该应用程序时都征求用户的许可。

但是在iOS上,此规则也有例外。虽然第三方应用程序必须征得用户的明确同意才能访问相机,但Safari可以访问相机或相册而无需任何权限提示。

具体来说,通过利用利用链接将浏览器URL进行解析,并将每个网站处理安全设置的方式中的缺陷串在一起,就可以进行不正确的访问。此方法仅适用于当前打开的网站。

示例图,来源thehackernews

Pickren指出:“一个更重要的发现是URL的方案被完全忽略了。” “这是有问题的,因为某些方案根本不包含有意义的主机名,例如file:,javascript:或data:”

换句话说,Safari无法检查网站是否遵循同源规则,却授予以不应获得其他网站的权限。结果,诸如“ https://example.com”之类的网站及其恶意副本“ fake://example.com”可能最终具有相同的权限。

皮克伦说:“ Safari认为我们在skype.com上,我可以加载到一些被黑客改写的JavaScript。打开本地HTML文件时,相机,麦克风和屏幕共享都会受到损害。”

研究发现,即使纯文本密码也可以通过这种方式被盗,因为Safari使用相同的方法来检测需要自动填充密码的网站。

此外,可以通过以下方法绕过自动下载预防措施:首先打开一个受信任的站点作为弹出窗口,然后使用它来下载文件。

这项研究总共发现了Safari中的七个不同的零日漏洞:

  • CVE-2020-3852:确定网站的多媒体权限时,可能会错误地忽略URL方案
  • CVE-2020-3864:DOM对象上下文可能没有唯一的安全来源
  • CVE-2020-3865:顶级DOM对象上下文可能被错误地认为是安全的
  • CVE-2020-3885:文件URL可能未正确处理
  • CVE-2020-3887:下载的来源可能未正确关联
  • CVE-2020-9784:恶意iframe可能会使用其他网站的下载设置
  • CVE-2020-9787:确定网站的多媒体权限时,错误地忽略了包含短划线-和.的URL方案

如果您是Safari用户,建议您使浏览器保持最新状态,并确保仅授予网站访问权限以使其正常运行。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/121488.html<

(0)
管理的头像管理
上一篇2025-02-21 21:53
下一篇 2025-02-21 21:55

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注