漏洞可让网站劫持Mac和iPhone摄像头，从而获得75000美元的赏金

一个安全漏洞使恶意黑客能够访问Mac，iPhone和iPad的摄像头，已为发现它的研究员获得了75,000美元的奖金。

研究人员Ryan Pickren 在这里和这里发布的帖子中说，他发现了Safari及其Webkit浏览器引擎中的七个漏洞，当这些漏洞链接在一起时，它们允许恶意网站打开Mac，iPhone和iPad的摄像头。Pickren私下报告了这些漏洞，苹果公司已修复了漏洞，并向研究人员支付了75,000美元，作为公司漏洞悬赏计划的一部分。

苹果严格限制第三方应用程序访问设备相机。对于Apple应用程序，限制并不那么严格。即使如此，Safari仍要求用户明确列出允许照相机访问的站点。除此之外，摄像机只能在安全的环境中访问这些站点，这意味着当浏览器高度信任页面通过HTTPS连接进行交付时。

如果Skype.com不是Skype.com

Pickren设计了一条绕过这些保护措施的漏洞利用链。通过利用他发现的多个漏洞，研究人员能够迫使Safari将其恶意概念验证网站视为Skype.com，出于演示目的，该网站已包括在受信任的站点列表中。（Skype.com实际上并不支持Safari，但是Pickren的漏洞可以欺骗任何站点，包括Zoom和Google Hangouts。）下面的视频显示了结果。

很明显，访问一个利用了这些漏洞的网站使其像其他网站一样伪装。如果Safari信任欺骗站点访问摄像机，则恶意站点能够立即查看目标设备的任何内容。该视频还清楚地表明，访问开始后，摄像机就会出现在地址栏中。此外，Mac相机会亮起绿灯。虽然警报用户会知道他们的相机已被激活，但是经验不足或保持警惕的用户可能不会注意到。

皮克伦写道：“简而言之，该错误使苹果误认为恶意网站实际上是值得信赖的网站。” “它是通过利用Safari如何解析URI，管理Web起源以及初始化安全上下文中的一系列缺陷来做到这一点的。”

他的恶意网站使用JavaScript直接访问目标网络摄像头，而无需征求或获得许可。皮克伦说，漏洞利用程序可能已经使用了“任何具有创建弹出窗口功能的JavaScript代码”。这意味着不仅可以通过独立网站来进行摄像头抓取，还可以通过嵌入式广告横幅，以HTML iframe标签呈现的网站或恶意浏览器扩展来进行抓拍。

皮克伦（Pickren）的两个职位中较长的一个位于此处，深入探讨了技术细节。在一封电子邮件中，Pickren以此方式总结了该漏洞利用：

我的恶意网站使用“ 数据URL ”生成“ blob URL ”，然后使用Location.replace（） Web API进行导航。这诱使Safari意外地给了我一个畸形的“ 起源 ”（CVE-2020-3864）。由于来源格式错误，我使用window.history API将URL更改为“ blob：//skype.com”。从那里开始，我有效地消除了我的出身，以诱使Safari认为自己处于“ 安全上下文 ”中（CVE-2020-3865）。由于Safari以前在应用网站权限（CVE-2020-3852）时会忽略URL方案，因此我能够利用受害者向真正的skype.com授予的所有权限。

虽然攻击链利用了跟踪为CVE-2020-3864，CVE-2020-3865和CVE-2020-3852的漏洞，但Pickren发现了另外四个被索引为CVE-2020-3885，CVE-2020-3887，CVE的漏洞。 -2020-9784和CVE-2020-9787。苹果在1月下旬修复了其中的大多数问题，  并在上个月修补了其余部分。