Chỉ đơn giản là truy cập một trang web – không chỉ các trang web độc hại mà đôi khi các trang web đã được xác thực cũng có các quảng cáo độc hại – trên trình duyệt Safari có thể cho phép kẻ tấn công từ xa truy cập bí mật vào máy ảnh, micrô hoặc vị trí của bạn . Trong một số trường hợp, chúng thậm chí còn đánh cắp cả mật khẩu.
Gần đây Apple đã trả phần thưởng trị giá 75.000 đô la (gần 1,8 tỷ VNĐ) cho một hacker mũ trắng tên là Ryan Pickren. Hacker này người đã tìm ra vụ tấn công và giúp công ty vá tổng cộng bảy lỗ hổng mới trước khi bất kỳ kẻ tấn công khai thác chúng.
Các bản sửa lỗi được phát hành trong một loạt các bản cập nhật cho các phiên bản Safari từ 13.0.5 (phát hành ngày 28/1/2020) đến 13.1 (phát hành ngày 24/3/2020).
Pickren cho biết “Nếu trang web độc hại muốn truy cập máy ảnh, nó chỉ cần giả làm một web hội nghị trực tuyến đáng tin cậy như Skype hoặc Zoom”.
Khi được kết hợp với nhau, ba trong số các lỗ hổng của Safari có thể cho phép các trang web độc hại mạo danh bất kỳ trang web nào mà nạn nhân tin tưởng. Các trang web giả sẽ truy cập máy ảnh hoặc micrô bằng các quyền mà nạn nhân đã cấp cho những trang web tin cậy.
Chuỗi khai thác để lạm quyền trên từng trang web của Safari
Safari cấp quyền truy cập vào một số quyền nhất định như máy ảnh, micrô, vị trí và một số quyền khác trên mỗi trang web. Việc này giúp những trang như Skype dễ dàng truy cập vào máy ảnh mà không cần xin phép người dùng mỗi lần chạy.
Tuy nhiên, vẫn có những ngoại lệ trên iOS. Mặc dù các ứng dụng của bên thứ ba phải có sự đồng ý của người dùng để truy cập vào máy ảnh, thì Safari có thể truy cập vào máy ảnh hoặc thư viện ảnh mà không cần bất kỳ lời yêu cầu nào.
Trình duyệt có thể truy cập bằng cách lợi dụng chuỗi khai thác những lỗ hổng theo cách trình duyệt phân tích URL schemes và xử lý các cài đặt bảo mật trên cơ sở mỗi trang web. Phương pháp này chỉ hoạt động với các trang web đang được mở.
Pickren cũng cho biết “Một điểm đáng chú ý là URL scheme hoàn toàn bị bỏ qua. Đây là điểm có vấn đề vì một số scheme hoàn toàn không chứa tên máy chủ đầy đủ, chẳng hạn như file:, javascript:, hay data:”.
Nói cách khác, Safari đã thất bại trong việc kiểm tra các trang web có tuân thủ chính sách same-origin (cùng nguồn gốc), từ đó cấp quyền truy cập cho một trang web khác với trang vốn được người dùng cấp quyền. Ví dụ, một trang web như “https://example.com” và bản sao độc hại của nó “fake://example.com” có thể cùng được cấp quyền.
Bằng cách lợi dụng máy chủ lười phân tích tên của Safari, kẻ xấu có thể sử dụng “file:” URI (ví dụ như file:///path/to/file/index.html) để đánh lừa trình duyệt thay đổi tên miền bằng JavaScript.
Pickren cho biết “Safari tưởng rằng người dùng đang ở trên skype.com và có thể tải về một số JavaScript xấu. Máy ảnh, micrô và chia sẻ màn hình đều bị truy cập trái phép khi bạn mở tệp local HTML”.
Nghiên cứu cho thấy rằng ngay cả mật khẩu plaintext cũng có thể bị đánh cắp theo cách này vì Safari sử dụng cùng một cách tiếp cận để nhận diện các trang web và mật khẩu tự động điền.
Việc chặn tự động tải xuống có thể được bỏ qua bằng cách mở một trang web đáng tin cậy dưới dạng pop-up và sau đó sử dụng nó để tải một tệp độc hại.
Tương tự, một “blob:” URI (ví dụ như blob://skype.com) có thể được khai thác để chạy mã JavaScript tùy ý, truy cập trực tiếp vào webcam của nạn nhân mà không cần xin phép.
Nghiên cứu đã phát hiện ra bảy lỗ hổng zero-day khác nhau trong Safari, đó là:
- CVE-2020-3852: URL scheme có thể bị bỏ qua khi xác định quyền đa phương tiện cho trang web
- CVE-2020-3864: Một DOM object context có thể không có nguồn bảo mật độc nhất
- CVE-2020-3865: Một DOM object context cấp cao có thể bị xem là không an toàn
- CVE-2020-3885: URL tệp có thể được xử lý không chính xác
- CVE-2020-3887: Bản tải gốc có thể bị liên kết không chính xác
- CVE-2020-9784: iFrame độc hại có thể sử dụng cài đặt trình tải xuống của trang web khác
- CVE-2020-9787: URL scheme chứa dấu gạch ngang (-) và dấu chấm (.) gần nhau bị bỏ qua khi xác định quyền đa phương tiện cho trang web
Nếu là người dùng Safari, bạn nên cập nhật trình duyệt thường xuyên và đảm bảo các trang web chỉ được cấp quyền truy cập vào những cài đặt cần thiết.
Thêm bình luận