Beveiliging Safari om te janken: Apple reikt 100.500 dollar uit voor ontdekking

Safari en macOS hadden vorig jaar veel problemen, waardoor gebruikersdata nu mogelijk op straat ligt en je vatbaar bent voor online aanvallen. Hackers konden toegang krijgen tot online accounts. Maar daar blijft het niet bij. Ze konden ook je microfoon of webcam activeren, en dat zijn toch echt nare ideeën.

macOS heeft natuurlijk ingebouwde beveiliging tegen online aanvallen, maar deze hack kwam toch door die beveiliging heen. De kwetsbaarheid maakt namelijk gebruik van iCloud- en Safari-onderdelen die macOS al vertrouwt. Dat heeft de onafhankelijke beveiligingsexpert Ryan Pickren ontdekt.

Nog meer problemen met Safari

In eerste instantie focuste Pickren zich op Safari, maar hij kwam al snel bij iCloud terecht. Daar keek hij naar de deelfunctie van de dienst. Wanneer je iets deelt, dan leunt Apple op een dienst die achter de schermen draait, genaamd ShareBear. En dat is nou net het onderdeel dat de hacker kan manipuleren. Ook achteraf.

Doordat er een digitale vertrouwensband is tussen Safari, macOS en iCloud, kan een aanvaller moeiteloos het gedeelde item aanpassen. In eerste instantie deel je dus een normaal bestand, dat later verandert in malafide software. En dat terwijl Apple het slachtoffer hiervan niet op de hoogte brengt of diegene doorheeft dat er iets verandert.

Zien wat iemand doet

Zodra zo’n aanval lukt, dan kan een hacker zien wat je doet in Safari. Die neemt de browser als het ware over en krijgt dus ook toegang tot je online accounts. Bovendien maakt de hacker misbruik van verleende toestemmingen die sites hebben (bijvoorbeeld tot de camera of mic) en krijgt die toegang tot lokaal opgeslagen bestanden.

Het probleem is inmiddels opgelost. De onderzoek bracht de problemen in juli aan het licht en kreeg daarvan 100.500 dollar. In oktober bracht Apple een update uit voor WebKit en voerde het bedrijf veranderingen door aan iCloud. In december verscheen er ook een update voor de Script Editor, die misbruik moet voorkomen. Dit laat nog maar eens zien hoe belangrijk het is om je browser up-to-date te houden.

Ryan Pickren