Di Pierguido Iezzi

Se avete un iPhone o MacBook, ecco una notizia allarmante per voi: a quanto pare, semplicemente visitando un sito web – non solo siti dannosi, ma anche siti legittimi che caricano inconsapevolmente annunci pubblicitari compromessi – con il browser Safari avreste potuto permettere ai Criminal Hacker di accedere segretamente alla fotocamera, al microfono o alla posizione del vostro dispositivo e, in alcuni casi, di salvare anche le password.

La scoperta

Apple ha recentemente pagato una ricompensa di 75mila dollari a un ethical hacker, che ha aiutato l’azienda a patchare un totale di sette nuove vulnerabilità prima che un aggressore potesse approfittarne.

Le correzioni sono state pubblicate in una serie di aggiornamenti alle versioni 13.0.5 (rilasciate il 28 gennaio 2020) e 13.1 (pubblicate il 24 marzo 2020) di Safari.

Se il sito web maligno avesse voluto ottenere l’accesso alle telecamere, non doveva far altro che mascherarsi da sito di web conferencing di fiducia come Skype o Zoom.

Se usati in congiunzione, tre dei difetti di Safari segnalati avrebbero potuto permettere ai Criminal Hacker di impersonare qualsiasi sito legittimo di cui la vittima si fida e di accedere alla videocamera o al microfono abusando dei permessi altrimenti esplicitamente concessi dalla vittima solo al dominio di fiducia.

Una catena di violazioni

Safari consente l’accesso a determinati permessi, come telecamera, microfono, ubicazione e altro ancora, per ogni sito web. Questo rende facile ai singoli siti web, per esempio Skype, accedere alla fotocamera senza chiedere il permesso dell’utente ogni volta che l’applicazione viene lanciata.

Ma ci sono eccezioni a questa regola su iOS. Mentre le app di terze parti devono richiedere il consenso esplicito dell’utente per accedere alla fotocamera, Safari può accedere alla fotocamera o alla galleria fotografica senza chiedere il permesso.

In particolare, l’accesso improprio è reso possibile sfruttando una catena di exploit che ha messo insieme diverse vulnerabilità nel modo in cui il browser analizzata gli schemi degli URL e gestisce le impostazioni di sicurezza per ogni sito web. Questo metodo funziona solo con i siti web attualmente aperti.

Lo schema dell’URL, infatti, viene completamente ignorato. Questo è problematico perché alcuni schemi non contengono affatto un nome host significativo, come file:, javascript:, o data:.

In altre parole, Safari non riesce a verificare se i siti web hanno aderito alla Same origin policy, garantendo così l’accesso ai privilegi ad un sito diverso da quelli autorizzati che, ovviamente, non avrebbe dovuto ottenere i permessi in primo luogo. Di conseguenza, un sito web come “https://example.com” e la sua controparte malintenzionata “fake://example.com” potrebbero finire per avere le stesse autorizzazioni.

Così, approfittando della falla di Safari, è stato possibile utilizzare un “file:”. URI (ad esempio, file:///path/to/to/file/index.html) per ingannare il browser e fargli cambiare il nome del dominio con JavaScript.

In questo modo Safari pensa che siamo su skype.com, e il Criminal Hacker può posso qualche JavaScript dannoso. La fotocamera, il microfono e la condivisione dello schermo sono tutti compromessi quando si apre il file HTML locale.

è stato anche scoperto che le password in chiaro possono essere rubate in questo modo, dato che Safari usa lo stesso approccio per individuare i siti web sui quali è necessario applicare il riempimento automatico delle password.

Inoltre, le misure preventive di auto-download possono essere bypassate aprendo prima un sito di fiducia come pop-up e poi utilizzandolo per scaricare un file dannoso.

Allo stesso modo, un “blob:” URI (ad es. blob://skype.com) può essere sfruttato per eseguire codice JavaScript arbitrario, utilizzandolo per accedere direttamente alla webcam della vittima senza autorizzazione.

Gli Zero day di Safari

In tutto, la ricerca ha scoperto sette diverse vulnerabilità zero-day in Safari:

CVE-2020-3852

CVE-2020-3864

CVE-2020-3865

CVE-2020-3885

CVE-2020-3887

CVE-2020-9784

CVE-2020-9787

Se siete utenti di Safari, si raccomanda di tenere aggiornato il browser e di garantire che i siti web abbiano accesso solo alle impostazioni essenziali per il loro funzionamento.