元アマゾン ウェブ サービス (AWS) セキュリティ エンジニアの Ryan Pickren は、Safari ブラウザに 7 つのゼロデイ セキュリティ脆弱性 (CVE-2020-3852、CVE-2020-3864、CVE-2020-3865、CVE-2020-3885、CVE) を発見しました。 -2020-3887、CVE-2020-9784、およびCVE-2020-9787)、そのうち 3 つは、ユーザーが悪意のあるリンクをクリックしたときに、ハッカーが Mac または iPhone のカメラを覗き見することを許可していました。
Pickren 氏によると、Apple はほぼすべてのアプリにカメラとマイクへのアクセスを明示的に許可することを要求していますが、Safari などの Apple 独自のアプリには同じことが当てはまりませんでした。
彼はこの例外を悪用して脆弱性を明らかにし、カメラにアクセスできるまで「あいまいなコーナーケースでブラウザを攻撃」することに成功しました。
「iOS と macOS のカメラ セキュリティ モデルは非常に強力です。一言で言えば、各アプリにはカメラ/マイクの許可を明示的に付与する必要があり、これは標準のアラート ボックスを介して OS によって処理されます。」ブログ投稿に書きました。
「しかし、このルールには例外があります。 Apple 独自のアプリは無料でカメラにアクセスできます。そのため、Mobile Safari は技術的には、要求することなくカメラにアクセスできます。さらに、MediaDevices Web API (WebRTC 送信で一般的に使用される) などの新しい Web テクノロジーにより、Web サイトは Safari の許可を利用してカメラに直接アクセスできます。 Skype や Zoom などの Web ベースのビデオ会議アプリに最適です。しかし…この新しい Web ベースのカメラ技術は、OS のネイティブ カメラ セキュリティ モデルを弱体化させます。」
Pickren は昨年 12 月中旬に 7 つの脆弱性について Apple に通知し、そのうち 3 つ (CVE-2020-3864、CVE-2020-3865、および CVE-2020-9784) は Apple によって修正されました。サファリ13.0.51月28日更新。
重大度が低いと考えられた残りの 4 つの脆弱性 (CVE-2020-3852、CVE-2020-3885、CVE-2020-3887、および CVE-2020-9787) は、サファリ13.1によると、3月24日にリリースされたフォーブス。
Pickren 氏によると、Apple は彼の手法を「ユーザーの介入を伴わないネットワーク攻撃: 機密データへのゼロクリック不正アクセス」カテゴリに分類し、Apple のバグ報奨金プログラムに基づいて 75,000 ドルという巨額の賞金を彼に与えたと述べています。
「新しい報奨金プログラムは、製品の安全性と顧客の保護に間違いなく役立ちます。 Apple がセキュリティ研究コミュニティの協力を受け入れてくれたことに本当に興奮しています」とピックレン氏は Forbes に語った。
Safari ユーザーの場合は、インターネット上の悪意のあるリンクをクリックしないことをお勧めします。
また、Web ブラウザが最新であることを確認してください。さらに、重要な設定へのアクセスのみを許可し、使用しないときは PC のカメラのアクセス許可をデフォルトで無効にしておきます。
