Obwohl Apple traditionell stark in die Sicherheit seiner Produkte investiert, ist es dem Studenten Ryan Pickren gelungen, ein gutes Dutzend Lücken im Safari-Browser zu finden, über die Angreifer auf Webcam und Mikrofon der Angegriffenen zugreifen konnten. Sogar das Screensharing soll möglich gewesen sein – alles ohne Kenntnis des Browser-Nutzers und sowohl unter macOS wie unter iOS.
Nachlässigkeiten in der Safari-Programmierung lassen Lücken entstehen
Dabei waren die Implementationen des Kamera- und Mikrofonzugriffs selbst gar nicht das Problem. Vielmehr traten einige programmiertechnische Nachlässigkeiten zutage, die Pickren mit Akribie aufspüren konnte. Zwei Eigenschaften erwiesen sich dabei als zentrale Ausgangspunkte für mögliche Angriffe.
Wenn Safari sich Sicherheitseinstellungen merken soll, dann tut der Browser das anwendungsbezogen. Ein Nutzer wird etwa beim erstmaligen Zugriff auf den Skype-Webclient gefragt, ob er Skype den Zugriff auf Webcam und Mikro erlauben will. Bejaht der Nutzer das, speichert Safari diese Erlaubnis und wendet sie bei jedem neuen Zugriff automatisch an.
Der Trick: Böswillige App gibt vor, eine bereits autorisierte zu sein
Was ein Angreifer nun also tun müsste, um auf Webcam und Mikro zugreifen zu können, wäre, dem Browser zu suggerieren, er sei Skype. Das war Pickrens Arbeitshypothese. Nun versuchte er, Web-Apps zu bauen, die sich letztlich als Skype ausgeben und so Zugriff erhalten könnten.
Dabei kamen ihm Nachlässigkeiten der Safari-Programmierer zugute, wie er The Wired erzählte. So betrachtete Safari etwa URL-Variationen wie https://www.example.com, http://example.com und sogar fake://example.com als valide Teile derselben Website.
Nun spielte Pickren so lange mit möglichen Varianten, bis er script-nutzbare URL produzieren konnte, die seine Arbeitshypothese bestätigten. Für den Test hackte sich Pickren indes nur selbst, indem er sein iPhone und sein Macbook als Zielobjekte verwendete.
Apple bestätigt Lücken und patcht sie zeitnah
Schlussendlich konnte Pickren Apple sieben Schwachstellen melden. Für seinen Angriff hatte er nur drei benötigt, war aber entlang der Diagnosekette auf vier weitere Lücken gestoßen. Nicht alle der gefundenen Probleme bestanden sowohl unter macOS wie unter iOS.
Bereits am Tag nach der Einsendung bestätigte Apple Pickrens Funde. Mit Updates im Januar und März 2020 hat der Hersteller alle Schwachstellen beseitigt.
Das ist Ryan Pickren
Ryan Pickren ist ein Student an der renommierten technischen Hochschule von Georgia, dem Georgia Institute of Technology. Dort studiert er technische Informatik.
Pickrens Safari-Coup, für den er nach eigenen Angaben 75.000 US-Dollar aus Apples Bug-Bounty-Programm erhielt, ist nicht sein erster Erfolg. Auch das Bug-Bounty-Programm der Fluggesellschaft United Airlines hat er bereits um Vielfliegermeilen im Wert von 300.000 Dollar erleichtert. Bei United ist Pickren der aktivste Bug-Sucher überhaupt.
Jetzt fühle ich mich beobachtet und werde für ein paar Wochen wohl Google Chrome nutzen…
Alle Lücken sind behoben.
Wer lesen kann ist klar im Vorteil. Die Lücken wurden von Apple bereits im Januar mit den Aktualisierungen geschlossen. Noch ein Grund mehr sein System immer aktuell zu halten und alle Updates aufzuspielen.