Просто посетив сайт (необязательно вредоносный) через браузер Safari, владельцы iPhone и MacBook могли предоставить злоумышленникам удаленный доступ к камере и микрофону на своем устройстве, данным о местоположении и в некоторых случаях даже к паролям. Об этом рассказал исследователь безопасности Райан Пикрен, обнаруживший уязвимость.
Эксперт сообщил о ней и еще шести других компании Apple. За это он получил вознаграждение в размере $75 тыс. Проблемы были исправлены в несколько этапов, начиная от версии Safari 13.0.5 (28 января 2020 года) и заканчивая версией 13.1 (24 марта 2020 года).
Как пояснил Пикрен, для того чтобы получить доступ к камере на устройстве жертвы, злоумышленнику достаточно заманить ее на поддельный сайт, имитирующий сервис для конференцсвязи наподобие Skype или Zoom. Связка из трех обнаруженных исследователем уязвимостей позволяет злоумышленникам выдавать вредоносный сайт за легитимный и получать разрешение на доступ к микрофону и камере, предоставляемое только доверенным доменам.