Ryan Pickren, un investigador de ciberseguridad que ya reportó un caso similar hace un año, ha encontrado una vulnerabilidad en Safari, el navegador web de Apple, mediante la cual una pagina web puede obtener acceso a tu camara web sin autorización. Apple ha decidido pagar a Ryan la cifra récord de 100.500 dólares debido a la criticidad de la vulnerabilidad.
Mediante la concatenación de una serie de problemas de seguridad en Safari y iCloud, un atacante puede obtener el control total de los permisos multimedia y obtener «acceso completo a las páginas web que ha visitado la víctima»
El error en cuestion afecta a ShareBear, un mecanismo para compartir ficheros de iCloud el cual muestra un popup al usuario la primera vez que intenta abrir un archivo compartido. El bug aprovecha que el usuario solo tiene que aceptarlo la primera vez para posteriormente, modificar el contenido del fichero sin necesidad de nuevas aprobaciones.
«ShareBear descargará y actualizara el fichero en el equipo de la victima sin interacion del usuario», explica Ryan en su write-up técnico. «Basicamente, la victima ha dado permiso al atacante para implantar un fichero polimórfico dentro de su equipo con la posibilidad de ser ejecutado remotamente en cualquier momento»
Ryan identificó 4 zero days y han otorgado a dos de ellos un CVE asociado:
- CVE-2021-30861: Un error en la lógica de WebKit permite a una aplicacion maliciosa bypassear los controles que realiza Gatekeeper. Se mejoró la administración de estados para solucionar un problema de lógica.
- CVE-2021-30975: Una vulnerabilidad ha sido encontrada en Apple macOS hasta 12.0 (Operating System) y clasificada como problemática. Una función desconocida del componente Script Editor es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.