A Safari Browser Hack felfedezi az AutoFill Security Concerns

Egy biztonsági kutató felfedte az Apple Safari webböngészőjének gyengeségét, amelyet egy támadó kihasználhat a kényes személyes adatok kivonására. A Safari sebezhetőség egy kicsit súlyosabb, de a probléma az AutoFill általánosságban az alapvető adatvédelmi és biztonsági aggályokat szemlélteti.

Jeremiah Grossman, a WhiteHat Security alapítója és megbízottja szerint a támadó rosszindulatú webes űrlapot használhat hogy a Safari automatikusan kitöltse az érzékeny adatokat, mint például a név, a cím vagy az e-mail cím az Apple Címjegyzékben tárolt adatokból. A probléma a "Az én címjegyzékből származó információim használata" című formanyomtatvány kitöltésének funkciója, amelyet alapértelmezés szerint a Safari-ban ellenőriz.

Grossman azt javasolja, hogy a probléma érinti a nyílt forráskódú WebKit motorra épülő összes böngészőt - köztük a Safari mind Mac OS X, mind iOS, valamint a Google Chrome böngésző. A koncepció bizonyítása azonban nem a Chrome legfrissebb verzióján működik, és felhasználói beavatkozást igényel az iOS-n való működéshez.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

A felfelé hogy ez a biztonsági hiba - többé-kevésbé - a Mac OS X rendszeren futó Safari webböngészőre korlátozódik. De mivel a Mac OS X csak az operációs rendszer piacának mintegy öt százalékát teszi ki, és nem minden Mac OS X felhasználó támaszkodik a Safari webes böngészéséhez a probléma viszonylag kis potenciális hatása van.

Grossman a Safari AutoFill hack blogbejegyzésében rámutat, a különbség a többi böngésző vagy az operációs rendszer automatikus kitöltési képességei között, és ez a probléma hogy a Safari érzékeny adatokat ad vissza egy támadónak egy rosszindulatú weboldal használatával "még akkor is, ha korábban soha nem volt ott, vagy személyes adatokat nem adott".

Az a tény, hogy a Safari hack képes olyan információkat felfedni, amelyek korábban nem voltak beírva adott területen komolyabb kiadás ue, de a valóság az, hogy az összes böngésző és operációs rendszer összes AutoFill funkciója bizonyos szintű biztonsági és adatvédelmi aggályokat jelent. Az automatikus kitöltés olyan funkció, amely bizonyos biztonság és magánélet tiszteletben tartását teszi szükségessé a kényelem érdekében.

Az automatikus kitöltés célja, hogy egyszerűbbé tegye az életet az adatok tárolásával, így automatikusan beírható a következő alkalommal, amikor szükséges. Leggyakrabban olyan űrlapadatokkal találkozik, ahol a felhasználók olyan mezőket töltenek be, mint a név, a cím, a telefonszám, az e-mail cím stb. Miután az adatokat az AutoFill-ben tárolta, a következő alkalommal, amikor egy hasonló űrlapmezőt talál, megjeleníti az AutoFill-ben tárolt bejegyzések listáját, vagy a beírás kezdetével beírja a bejegyzést az AutoFill adataival, ami megegyezik a gépeléssel.

Hasonlóan ahhoz, amit Grossman a Safari AutoFill hack a támadó ugyanúgy kiszélesítheti a felhasználó által az AutoFill funkcióban tárolt információkat, ha rosszindulatú webes űrlapot hoz létre közös mezőkkel és láthatatlanul megvizsgálja az ábécé minden betűjét, hogy megnézze az automatikus kitöltés bejegyzéseit.

Az automatikus kitöltés érzékeny információkat is felfedezhet más módon is. A webes böngésző címsorának automatikus kitöltése felderítheti a meglátogatott URL-eket, és az olyan programokhoz tartozó automatikus kitöltés funkció, mint például a Microsoft Excel, olyan adatokat vagy információkat tartalmazhat, amelyeket előzőleg más mezőkbe írtak be.

Nem mondom el, hogy mindenki elhagyja Automatikus kitöltés és menjen vissza fáradtan beírni ugyanazokat az információkat minden alkalommal, amikor szükség van. Én azonban azt állítom, hogy az IT-adminisztrátorok és a felhasználók általánosságban megértik, hogy ugyanazok a funkciók, amelyek a felhasználó számára kényelmet biztosítanak, még kényelmesebbé teszik a támadók számára az ott tárolt adatok megsértését vagy veszélyeztetését.

Tony követheti Facebook oldal, vagy lépjen kapcsolatba vele [email protected] e-mailben. Ő is tweets @Tony_BradleyPCW.