براساس گزارشهای منتشرشده، تنها بازدید از یک وبسایت، نهتنها وبسایتهای مخرب، بلکه وبسایتهای قانونی نیز که ناآگاهانه تبلیغات مخرب را بارگذاری میکنند، با استفاده از مرورگر سافاری میتواند امکان دسترسی مخفیانه به دوربین، میکروفون، موقعیت مکانی و در برخی موارد، رمزهای عبور ذخیرهشده در دستگاه کاربران را برای مهاجمان راه دور فراهم کند.
در همین راستا و برای جلوگیری از این مشکل، شرکت اپل بهتازگی هفت آسیبپذیری جدید را با انتشار بهروزرسانیهایی برای نسخههای ۱۳٫۰٫۵ و ۱۳٫۱ سافاری، وصله کرده است. به گفتهی محققان امنیتی، سه مورد از این نقصهای گزارششده، میتوانند به وبسایتهای مخرب اجازه دهند تا هر وبسایت قانونی، مانند اسکایپ (Skype) یا زوم (Zoom) را که قربانی به آن اعتماد کرده است، جعل کرده و با سوءاستفاده از مجوزهایی که صریحاً توسط قربانی به دامنهی مورداعتماد داده شده است، به دوربین یا میکروفون دسترسی پیدا کنند.
مرورگر سافاری به هر وبسایت براساس نوع آن، دسترسی به مجوزهای خاصی از جمله دوربین، میکروفون، موقعیت مکانی و موارد دیگر را میدهد. به گفتهی اسکایپ، این امر دسترسی به دوربین، بدون درخواست مجوز از کاربر را برای وبسایتهای شخصی آسان میکند. اما برای این قانون در سیستم عامل iOS استثناهایی وجود دارد.
درحالیکه برنامههای شخص ثالث برای دسترسی به دوربین نیاز به رضایت صریح کاربر دارند، سافاری میتواند بدون هیچگونه مجوزی به دوربین یا گالری عکس دسترسی داشته باشد. بهویژه آنکه این دستیابی نادرست، از طریق بهرهبرداری از چندین آسیبپذیری بههم پیوسته نیز امکانپذیر است. در این روش، مرورگر میتواند طرحهای URL را تجزیه کرده و تنظیمات امنیتی را براساس هر وبسایت انجام دهد. بااینحال، این روش تنها برای وبسایتهایی که درحالحاضر باز هستند، کار میکند.
در مجموع، هفت آسیبپذیری روز صفرم مختلف در سافاری کشف و وصله شده است که با شناسههای CVE-2020-3852، CVE-2020-3864، CVE-2020-3865، CVE-2020-3885، CVE-2020-3887، CVE-2020-9784 و CVE-2020-9787 ردیابی میشوند. به کاربران سافاری توصیه میشود که مرورگر خود را بهروز نگه داشته و از دسترسی وبسایتها تنها به آن دسته از تنظیماتی که عملکرد آنها ضروری است، اطمینان حاصل کنند.
