Исследователь Райан Пикрен опубликовал отчёты о том, что обнаружил семь уязвимостей в браузере Safari и его движке Webkit, которые позволяли вредоносным веб-сайтам удалённо включать камеры Mac, iPhone и iPad. Пикрен сообщил об ошибках Apple — компания исправила ошибки и заплатила ему $75 тысяч в рамках программы вознаграждения за нахождение уязвимостей, пишет Ars Technica.

Apple жестко ограничивает доступ сторонних приложений к камерам своих устройств, однако ограничения для собственных не так строги. При этом всё равно Safari требует для каждого сайта подтверждения от пользователя, что он разрешает ресурсу использовать свою камеру. Исследователь использовал цепочку эксплойтов, которая обошла эту защиту. Благодаря уязвимостям, Пикрену удалось заставить браузер рассматривать свой вредоносный веб-сайт как Skype.com, который был включён в список доверенных ресурсов, которые могут получить доступ к камере. Исследователь отмечает, что для Skype.com не существует веб-версии для Safari, однако с помощью найденных им эксплойтов злоумышленники могут подделать любой веб-сайт, в том числе Zoom и Google Hangouts.

В ходе обнаружения уязвимостей CVE-2020-3864, CVE-2020-3865 и CVE-2020-3852 Пикрен также нашёл ошибки, которые проиндексированы как CVE-2020-3885, CVE-2020-3887, CVE −2020-9784 и CVE-2020-9787. Apple исправила все эти уязвимости в два этапа — в конце января и в марте.