Safari Browser Hack dezvăluie preocupările privind securitatea automată de completare

Un cercetător de securitate a dezvăluit o slăbiciune în browser-ul web Apple Safari, care poate fi exploatat de un atacator pentru a extrage informații personale sensibile. Vulnerabilitatea Safari este puțin mai severă, dar problema ilustrează preocupările legate de confidențialitate și securitate cu AutoFill în general.

Jeremiah Grossman, fondatorul și CTO al WhiteHat Security, a raportat că este posibil ca un atacator să utilizeze un formular web rău intenționat pentru a determina Safari să completeze automat informații delicate cum ar fi numele, adresa sau adresa de e-mail din informațiile stocate în Apple Address Book. Problema este o funcție a opțiunii de a completa formularele "Utilizarea informațiilor din cartea mea de adrese", care este verificată implicit în Safari.

Grossman sugerează că problema afectează toate browserele construite pe motorul WebKit cu sursă deschisă - inclusiv Safari pe ambele Mac OS X și iOS, precum și browserul Google Chrome. Cu toate acestea, demonstrația de concept nu funcționează în cea mai recentă versiune Chrome și necesită intervenția utilizatorului pentru a funcționa pe iOS.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

că acest defect de securitate pare să fie restrâns - mai mult sau mai puțin - browser-ului Web Safari care rulează pe Mac OS X. Dar, deoarece Mac OS X reprezintă doar aproximativ cinci procente din piața sistemelor de operare și nu toți utilizatorii Mac OS X se bazează pe Safari pentru navigarea pe Web, problema are un impact potențial relativ redus.

Grossman subliniază în postarea sa de blog pe hack-ul Safari AutoFill, diferența dintre capacitățile de completare automată ale altor browsere sau sisteme de operare și această problemă este că Safari va preda datele sensibile unui atacator folosind un site web rău intenționat "chiar dacă nu au mai fost niciodată acolo sau au introdus informații personale".

Faptul că hack-ul Safari poate dezvălui informații care nu au fost introduse anterior acest câmp face ca acesta să fie mai grav ue, dar realitatea este că toate funcțiile de completare automată în toate browserele și sistemele de operare reprezintă o preocupare privind securitatea și confidențialitatea la un anumit nivel. Completarea automată este o caracteristică care necesită schimbul de siguranță și confidențialitate în favoarea comodității.

Completarea automată este concepută pentru a ușura viața prin stocarea informațiilor, astfel încât să poată fi introdusă automat data viitoare când este necesară. Este întâlnit cel mai frecvent cu datele formularului în care utilizatorii completează câmpuri cum ar fi numele, adresa, numărul de telefon, adresa de e-mail etc. Odată ce datele sunt stocate în Completare automată, data viitoare când se întâlnește un câmp de formular similar, va dezvălui o listă cu intrările stocate în Completare automată sau va începe să scrie informații cu ajutorul informațiilor din Completare automată care se potrivește cu ceea ce este scris.

În mod similar cu ceea ce Grossman utilizează pentru a extrage informații utilizând hack-ul Safari AutoFill, un atacator ar putea de asemenea extrage informații pe care un utilizator le-a stocat în caracteristica Completare automată, creând un formular web rău intenționat cu câmpuri comune și testarea invizibilă a fiecărei litere din alfabet pentru a vedea ce intrări de completare automată există.

Completarea automată poate dezvălui, de asemenea, și alte moduri. Funcția de completare automată a barei de adrese a browserului poate dezvălui adresele URL care au fost vizitate, iar funcția Completare automată în programe cum ar fi Microsoft Excel ar putea expune date sau informații care au fost introduse anterior în alte câmpuri.

Nu sugerăm abandonarea tuturor Completați automat și reveniți la tastarea în mod obișnuit a acelorași informații de fiecare dată când este nevoie. Cu toate acestea, eu susțin că administratorii IT și utilizatorii în general înțeleg că aceleași caracteristici care oferă confort pentru utilizator fac de asemenea mai convenabil ca un atacator să încalce sau să compromită datele stocate acolo.

Puteți să îl urmați pe Tony Pagina Facebook sau contactați-l prin e-mail la [email protected]. El, de asemenea, tweets ca @ Tony_BradleyPCW.