Le chercheur en cybersécurité Ryan Pickren a mis le doigt sur une faille de sécurité au sein de Safari, le navigateur web made in Apple. En testant les limites des demandes d’autorisations d’utilisation de la caméra via Safari, il s’est rendu compte qu’il était assez facile d’en abuser.
Dans les faits, le navigateur Internet enregistre les autorisations d’utilisation de la webcam ou du micro qu’octroie un utilisateur à un site web. Cela permet d’éviter de lui redemander à chaque visite l’autorisation et c’est là que sa pose le problème. Les adresses URL qu’enregistre Safari ne sont pas strictes. Autrement dit, un site avec une adresse similaire pouvait profiter des mêmes autorisations sans les avoir explicitement reçues de la part des navigateurs.
Par exemple, Safari considérait les adresses suivantes comme identiques ; https://www.example.com, http://example.com, ou fake://example.com. Les pirates informatiques pourraient parfaitement exploiter ce manque de précision de Safari pour accéder à la webcam et au micro des produits Apple.
« Un hacker pourrait utiliser cette confusion sous la forme d’une réaction en chaîne qui rendrait un site malveillant similaire à Skype, du point de vue de Safari », explique Ryan Pickren à Wired. « Une fois la confusion faite, le site malveillant profiterait des mêmes autorisations que Skype et pourrait ainsi lancer discrètement un logiciel d’infiltration de webcam pour enregistrer des conversations et prendre des photos, ou même réaliser des partages d’écrans ». L’exploitation de cette faille pouvait amener à du chantage à la webcam.
Le chercheur en sécurité a prévenu Apple du problème via le programme de rapport des bugs de la firme ce qui lui aurait permis d’empocher 75.000 $. Les équipes d’Apple se seraient attelées à corriger la faille au cours des derniers mois. Pensez à mettre à jour votre navigateur Safari.