Kein Hersteller ist vor Sicherheitslücken im eigenen Browser zu hundert Prozent gefeit. Zu umfangreich sind moderne Surftools dafür mittlerweile geworden. Das gilt freilich auch für Safari, das Produkt von Apple. Gleich sieben teils schwere Sicherheitslücken hat der Hacker und ehemalige Amazon-Mitarbeiter Ryan Pickren entdeckt.

Unter anderem gelang es ihm, Safari so auszutricksen, dass es den Zugriff auf Webcam und Mikrofon ermöglicht. Voraussetzung dafür war lediglich, dass der Nutzer schon zuvor einer Seite – etwa zum Zwecke von Videokonferenzen – entsprechende Rechte eingeräumt hatte.

Browser ließ sich austricksen

Denn Safari merkte sich dabei nur die Domain, also etwa "seite.com", ignorierte aber die vorhergehende Protokollzuordnung. Auch bei einem Aufruf von "fake://seite.com" statt "https://seite.com" ging das Programm davon aus, bei der richtigen Domain zu sein. Auf diesem Wege konnte Pickren sowohl unter macOS als auch iOS Kamera und Mikrofon ansteuern. Unter macOS war auf diesem Wege sogar das Screensharing – also das Teilen des Bildschirminhalts – aktivierbar.

Für Pickren hat sich die Entdeckung ausgezahlt. Für die Meldung der Lecks hat Apple ihm im Rahmen seines "Bug Bounty"-Belohnungsprogramms 75.000 Dollar zugesprochen. Wer aktuelle Versionen von Safari (ab 13.05) bzw. iOS (12.4.5 und 13.3.1) verwendet, muss sich allerdings keine Sorgen machen. Apple hat die Schwachstellen vor ihrer öffentlichen Bekanntgabe behoben. (gpi, 7.4.2020)