Des failles de sécurité dans Apple iCloud et Safari 15 auraient pu permettre aux attaquants de compromettre les webcams macOS et, par la suite, les comptes en ligne des victimes.
Ryan Pickren, un chercheur indépendant en sécurité, a récolté une prime de bogue de 100 500 $ pour l’exploit de script intersite universel (uXSS) et un total de quatre failles.
uXSS tous domaines
Alors que le piratage de la caméra nécessitait une interaction de l’utilisateur, l’impact potentiel d’un compromis réussi était énorme.
« Bien que ce bogue oblige la victime à cliquer sur » ouvrir « sur une fenêtre contextuelle de mon site Web, il entraîne plus qu’un simple détournement d’autorisation multimédia », a déclaré Pickren dans un rédaction technique.
L’exploit, a-t-il ajouté, donne « à l’attaquant un accès complet à tous les sites Web jamais visités par la victime. Cela signifie qu’en plus d’allumer votre appareil photo, mon bogue peut également pirater vos comptes iCloud, PayPal, Facebook, Gmail, etc.
Le chercheur a démontré un scénario dans lequel une victime accepte de voir un dossier contenant des images PNG et un fichier webarchive caché qui injecte du code dans icloud.com qui exfiltre sa pellicule iOS.
UN papier (PDF) publié par Google Project Zero a décrit les bogues uXSS, qui peuvent mettre en péril plusieurs comptes en ligne parce qu’ils exploitent les vulnérabilités du navigateur, comme « presque aussi précieux qu’un exploit d’exécution de code à distance (RCE) avec l’évasion du bac à sable ».
« Subtil, mais extrêmement percutant »
Comme suggéré par les auteurs de l’application de test d’intrusion Metasploit en 2013, Pickren a utilisé des fichiers webarchive comme cheval de Troie pour uXSS.
Alternative de Safari au HTML pour enregistrer les sites Web localement, les fichiers webarchive spécifient l’origine Web dans laquelle le contenu doit être rendu.
Pickren a contourné le blocage de macOS Gatekeeper sur les utilisateurs ouvrant directement les fichiers webarchive en ouvrant les fichiers indirectement via une application approuvée, Safari. Le chercheur a découvert que le type de fichier de raccourci .url lancerait Safari et demanderait au navigateur d’ouvrir le fichier.
« Un défaut de conception subtil, mais extrêmement percutant » dans ShareBear, une application dorsale de partage de fichiers via iCloud, signifiait qu’un attaquant pouvait subrepticement échanger un fichier bénin avec un fichier malveillant après qu’il ait été partagé et téléchargé par une victime.
La victime ne recevrait aucune notification de cet échange de fichiers.
« Essentiellement, la victime a donné à l’attaquant la permission d’installer un fichier polymorphe sur sa machine et la permission de le lancer à distance à tout moment », a déclaré Pickren.
Le chercheur a façonné l’exploit après avoir réussi une astuce similaire sur Safari v14.1.1, mais il s’est vite avéré que la version bêta de Safari v15 était par inadvertance imperméable en raison d’un refactor de code non lié.
Il a également réussi à voler des fichiers locaux en contournant les restrictions du bac à sable, ainsi qu’à déterrer un contournement du bloqueur de fenêtres contextuelles et une évasion du bac à sable iframe.
Remédiation
Pickren a signalé les bogues à Apple en juillet 2021. Ils ont été corrigés récemment dans macOS Monterey 12.0.1, ce qui a permis à ShareBear de révéler (plutôt que de lancer) des fichiers et d’empêcher WebKit d’ouvrir des fichiers mis en quarantaine dans Safari 15.
La récompense de 100 000 $ éclipse le paiement de 75 000 $ que Pickren a révélé en 2020 pour un exploit d’accès JavaScript à webcam en un clic qui fonctionnait sur iPhone, iPad et macOS.
Pickren a rapidement renouvelé son intérêt pour les webcams Apple et a de nouveau compromis les caméras iOS et macOS l’année dernière, cette fois via une chaîne de bogues Safari qui a exploité l’autorisation de caméra de Skype.
