Safari-Updates in iOS und macOS

iPhone und Mac: Sicherheitslücken in Safari erlaubten Kamera-Zugriff

Gleich mehrere Sicherheitslücken in Safari ermöglichten es, auf iPhone oder Mac heimlich die Kamera zu übernehmen. Deshalb sollten Sie jetzt updaten.

© connect

Apple hat Sicherheitslücken in Safari geschlossen.

Ganze sieben Sicherheitslücken hat Sicherheitsforscher Ryan Pickren in Safari entdeckt. Einige davon konnte er nutzen, um über eine manipulierte Webseite die Kameras von iPhones, iPads oder Macs zu übernehmen.

Eigentlich ist der Zugriff auf die Kameras in iOS und macOS recht gut geschützt. Jede App muss zuerst um Erlaubnis bitten, bevor sie auf die Kamera zugreifen kann. Ausnahmen bilden hier jedoch Apples eigene Apps, wie der Browser Safari.

Auch in Safari muss der Nutzer aber immerhin noch einzelnen Webseiten den Kamerazugriff erlauben. Damit man dies nicht jedesmal neu eingeben muss, führt Safari eine Liste mit autorisierten Domains. Allerdings wurden diese Domains nicht sauber geprüft, wie Pickren herausfand.

War eine Webseite dort als example.com gespeichert, erkannte der Browser beispielsweise https://example.com, http://example.com und sogar fake://example.com als diese Webseite, die daraufhin ungefragt Zugriff auf Kamera oder Mikrofon erhalten würde, wie Ryan Pickren auf seiner Webseite beschreibt. Durch die Kombination mehrerer Sicherheitslücken gelang es Pickren, die Domain blob://skype.com zu öffnen. Sofern skype.com in Safari als autorisierte Webseite gespeichert war, wurde auch die gefakte Domain akzeptiert und Pickren erhielt Zugriff auf Kamera und Mikrofon.

Pickren meldete die Sicherheitslücken an Apple und erhielt laut Forbes eine Bug Bounty in Höhe von 75.000 US-Dollar. Die ersten drei Lücken wurden bereits im Januar mit Safari 13.0.5 geschlossen, die restlichen folgten in Safari 13.1 im März. Die Bugfixes sind in den iOS-Updates 13.3.1 bzw. 13.4 enthalten.

Mehr zum Thema

iOS 13.3 und iOS 12.4.4

Apple behebt mit iOS 13.3 Fehler in seinem Betriebssystem. Eine Sicherheitslücke ist so kritisch, dass auch iOS 12 erneut aktualisiert wird.
Software-Aktualisierung bei Apple

Apple hat neben der iPadOS- und iOS-Version 13.3.1 auch noch mal ein Update für ältere Geräte veröffentlicht. iOS 12.4.5 soll alte iPhones, iPads und…
Unsichtbare Angriffe per E-Mail seit 2010

Die Mail-App auf iPhone und iPad hatte eine kritische Sicherheitslücke. Nach Entdeckung, BSI-Warnung und Apples Entwarnung kommt nun das…
Apple-Betriebssystem

Apple hat iOS 13.5 und iPadOS 13.5 mit der API für Contact-Tracing-Apps veröffentlicht. Welche anderen Funktionen und Bugfixes bringt das Update?
iOS-Jailbreak "unc0ver" umgeht Apples…

Vor Kurzem erschien Apples neueste iOS-Version. Bereits jetzt gibt es den ersten Jailbreak für Version 13.5. So lassen sich verschiedene…