Apple baru-baru ini memberi hadiah $75.000 dalam program bug bounty-nya untuk Ryan Pickren, yang melaporkan bug dalam Safari dan membantu perusahaan memperbaiki total tujuh kerentanan baru yang ditemukan sebelum penjahat siber dapat memanfaatkannya.
Perbaikan diterbitkan dalam pembaruan Safari versi 13.0.5 (dirilis 28 Januari 2020) dan Safari versi 13.1 (diterbitkan 24 Maret 2020).
“Jika situs web berbahaya menginginkan akses kamera, yang harus dilakukan penyerang hanyalah menyamarkan situs sebagai situs web konferensi video tepercaya seperti Skype atau Zoom,” kata Pickren.
Jika dikaitkan, tiga dari bug dalam Safari yang dilaporkan bisa saja memungkinkan situs berbahaya untuk menyamar sebagai situs yang dipercaya oleh korban dan mengakses kamera atau mikrofon dengan menyalahgunakan izin yang dinyatakan secara eksplisit oleh korban hanya untuk domain tepercaya.
Eksploitasi Berantai untuk Menyalahgunakan Izin Per-Situs Safari
Browser Safari memberikan akses ke izin tertentu seperti kamera, mikrofon, lokasi, dan lainnya berdasarkan basis per-situs web. Ini memudahkan setiap situs web, misalnya Skype, untuk mengakses kamera tanpa meminta izin pengguna setiap kali aplikasi diluncurkan.
Tetapi ada pengecualian untuk aturan ini di iOS. Meskipun aplikasi pihak ketiga harus meminta persetujuan eksplisit pengguna untuk mengakses kamera, Safari dapat mengakses kamera atau galeri foto tanpa izin apa pun.
Secara khusus, akses yang salah dimungkinkan dengan memanfaatkan eksploitasi berantai yang merangkai beberapa kerentanan dalam cara browser mem-parsing skema URL dan menangani pengaturan keamanan berdasarkan per-situs web. Metode ini hanya berfungsi untuk situs web yang sedang terbuka.
“Pengamatan yang lebih penting adalah bahwa skema URL sepenuhnya diabaikan,” kata Pickren. “Ini bermasalah karena beberapa skema sama sekali tidak mengandung nama host yang berarti, seperti file:, javascript:, atau data:.”
Dengan kata lain, Safari gagal memeriksa apakah situs web mempunyai kebijakan same-origin, sehingga memberikan akses ke situs lain yang semestinya tidak memperoleh izin. Akibatnya, situs web seperti “https://example.com” dan alamat berbahayanya yaitu “fake: //example.com” dapat berakhir memiliki izin yang sama.
Dengan mengambil keuntungan dari hal tersebut, dimungkinkan untuk menggunakan “file:” URI (misalnya, file:///path/to/file/index.html) untuk mengelabui browser agar mengubah nama domain menggunakan JavaScript.
Safari akan mengira pengguna sedang memuat skype.com, dan itu bisa memuat JavaScript berbahaya. Kamera, Mikrofon, dan Berbagi Layar semuanya disusupi saat pengguna membuka file HTML lokal.
Baca juga: “Hacker Memasang Backdoor di Ribuan Server MS-SQL“
Penelitian ini juga menemukan bahwa bahkan kata sandi plaintext dapat dicuri dengan cara ini karena Safari menggunakan pendekatan yang sama untuk mendeteksi situs web yang membutuhkan pengisian kata sandi otomatis.
Selanjutnya, pencegahan unduhan otomatis dapat dilewati dengan terlebih dahulu membuka situs tepercaya sebagai pop-up, dan kemudian menggunakannya untuk mengunduh file berbahaya.
Juga, “blob:” URI (mis. blob://skype.com) dapat dieksploitasi untuk menjalankan kode arbitrer JavaScript, dan menggunakan itu untuk secara langsung mengakses webcam korban tanpa izin.
Secara keseluruhan, penelitian ini menemukan tujuh kerentanan 0-day yang berbeda dalam Safari: CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, dan CVE-2020-9787.
