Safari Browser Hack paljastaa AutoFill Security Concerns

Tietoturva-tutkija on paljastanut heikkouden Applen Safari-selaimessa, jota hyökkääjä voi hyödyntää arkaluonteisten henkilötietojen poistamiseksi. Safari-haavoittuvuus on hieman vakavampi, mutta ongelma kuvaa yleisen tietoturvan ja tietoturvaongelmia.

WhiteHat Securityn perustaja ja CTO Jeremiah Grossman kertoi, että hyökkääjä voi käyttää haitallista Web-lomaketta aiheuttaa Safarin automaattisen täyttämisen Applen osoitekirjaan tallennetuista tiedoista, kuten nimestä, osoitteesta tai sähköpostiosoitteesta. Tämä ongelma on tehtävä, joka täyttää lomakkeiden "Käyttämällä osoitekorttikortiltani" -muotoa, joka on oletusarvoisesti tarkistettu Safarissa.

Grossman ehdottaa, että ongelma vaikuttaa kaikkiin avoimen lähdekoodin WebKit-moottoriin rakennettuihin selaimiin. mukaan lukien Safari sekä Mac OS X: ssä että iOS: ssa ja Google Chrome -selaimessa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Yläosaa ei ole, mutta käsikirjoitus ei toimi Chromen viimeisimmän version kohdalla. että tämä tietoturva-ongelma tuntuu siltä - enemmän tai vähemmän - Safari-selaimelle, joka toimii Mac OS X: ssä. Mutta koska Mac OS X muodostaa vain noin viisi prosenttia käyttöjärjestelmän markkinoista, eivätkä kaikki Mac OS X -käyttäjät Safarilla on Web-selaimessa suhteellisen pieni potentiaalivaikutus.

Grossman korostaa bloginsa Safari AutoFill -hakua, eroa muiden selainten tai käyttöjärjestelmien automaattisen täytön ominaisuuksien välillä ja tämä kysymys on että Safari luovuttaa arkaluonteisia tietoja hyökkääjälle vahingollisen Web-sivuston avulla "vaikka he eivät olisikaan olleet siellä ennen tai syöttäneet mitään henkilökohtaisia ​​tietoja."

Se, että Safari-hakkeri voi paljastaa tietoja, joita ei ole aiemmin kirjoitettu sillä alalla on vakavampaa ue, mutta tosiasia on, että kaikki AutoFill-ominaisuudet kaikissa selaimissa ja käyttöjärjestelmissä edustavat tietoturva- ja tietosuojaongelmia joillakin tasoilla. Automaattinen täyttö on ominaisuus, joka vaatii tietoturvan ja tietosuojan vaihtamista mukavuuden puolesta.

AutoFill on suunniteltu helpottamaan elämää tallentamalla tietoja, jotta se voidaan syöttää automaattisesti seuraavan kerran, kun sitä tarvitaan. Useimmiten esiintyy lomaketiedot, joissa käyttäjät täyttävät kentät, kuten nimi, osoite, puhelinnumero, sähköpostiosoite jne. Kun tiedot tallennetaan Automaattinen täyttöön, seuraavalla kerralla vastaavan lomakekenttä näkyy napsauttamalla kenttää paljastaa luettelon AutoFillissä tallennetuista merkinnöistä tai aloittaa kirjoittamisen, täyttää merkinnän AutoFill-tiedostolla, joka vastaa mitä kirjoitetaan.

Samalla tavalla kuin Grossman käyttää tietojen poistamiseen Safari AutoFill -hakua käyttäen, hyökkääjä voi myös poimia tietoja, jotka käyttäjä on tallentanut automaattiseen täyttöominaisuuteen luomalla haitallisen Web-lomakkeen, jolla on yhteiset kentät ja näkymättömästi testaamalla jokainen aakkosten kirjain ja näet, mitä automaattisen täytön merkinnät ovat.

Automaattinen täyttö saattaa myös paljastaa arkaluonteisia tietoja muilla tavoilla. Web-selaimen osoiterivin automaattinen täyttöominaisuus saattaa paljastaa URL-osoitteita, jotka ovat käyneet, ja Microsoft Excelin, kuten Microsoft Excelin, ohjelmien automaattinen täyttötoiminto, saattaa altistaa muille aloille aiemmin syötetyt tiedot.

En aio ehdottaa, että kaikki hylkäävät Automaattinen täyttö ja palaa tyytymättömästi kirjoittamalla samat tiedot joka kerta kun tarvitset. Olen kuitenkin sitä mieltä, että IT-järjestelmänvalvojat ja käyttäjät yleisesti ymmärtävät, että samoja ominaisuuksia, jotka tarjoavat käyttäjän mukavuutta, myös helpottavat hyökkääjän rikkomista tai vaarantavat siellä tallennetut tiedot.

Voit seurata Tonya hänen Facebook-sivu, tai ota yhteyttä osoitteeseen [email protected]. Hän myös tweettii @Tony_BradleyPCW.