Une faille permet à des sites web non-autorisés d'accéder à la webcam des appareils Apple

Après avoir longuement parlé de failles liées à Intel ou Microsoft, voici venu le tour d’Apple de se faire remonter les bretelles. En effet, un chercheur en sécurité a réussi à collecter quelque sept failles (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 et CVE-2020-9787) dont trois seulement permettent, utilisées conjointement, d’avoir accès à la caméra de l’appareil hôte sans demander à l’utilisateur.

Pour cela, il faut tout d’abord utiliser Safari, le navigateur web de la pomme, sur un Mac ou un iPérihérique, et visiter un site malicieux. Ce dernier va par la suite utiliser son stockage local pour abuser de la manière dont Safari détecte le site web actuellement consulté, et va se faire passer pour une page qui possède déjà l’autorisation d’accès à la webcam, par exemple Skype. Une fois le méfait effectué, Safari n’y voit que du feu, et envoie sans broncher le flux vidéo... De quoi vous faire froid dans le dos ! Notez que l’icône affichant l’accès à la caméra est toutefois toujours présente, ce qui permet de se rendre compte assez rapidement du méfait si vous êtes familier de l’interface.

Classifiée comme « Attaque par réseau sans interaction de l’utilisateur : accès sans click à des données sensibles », ce qui a permis de récolter la coquette somme de 75 000 dollars par le programme de recherche de bug d’Apple. Deux rustines ont été sorties pour corriger ces failles, une en janvier (Safari 13.0.5) et l’autre en mars (13,1). Comme quoi, quel que soit l’OS, quelle que soit la plateforme, personne n’est vraiment à l’abri ! (Source : HotHardware)