Fałszywe okno przeglądarki w iPhone
Funkcja w przeglądarce Safari firmy Apple, zaprojektowana w celu ułatwienia wypełniania formularzy, może zostać wykorzystana przez hakerów do zbierania danych osobowych, zgodnie z badaniami bezpieczeństwa
Funkcja autouzupełniania Safari jest domyślnie włączona i zawiera informacje takie jak imię i nazwisko, miejsce pracy, miasto, stan i adres e-mail, kiedy rozpoznaje formularz, napisał na swoim blogu Jeremiah Grossman, dyrektor techniczny WhiteHat Security. Informacje pochodzą z książki adresowej lokalnego systemu operacyjnego Safari.
Funkcja zrzuca dane do formularza, nawet jeśli dana osoba nie wprowadziła żadnych danych w określonej witrynie sieci Web, co otwiera szansę dla hakera.
[Dalej czytanie: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]"Cała złośliwa strona musiałaby zrobić, aby ukryć dane z karty Address Book z Safari, dynamicznie tworzyć pola tekstowe z wyżej wymienionymi nazwami, prawdopodobnie niewidocznie, a następnie symulować AZ naciśnięcia klawiszy w JavaScript, "napisał Grossman. "Po zapełnieniu danych, to jest Autowypełniony, można uzyskać do niego dostęp i wysłać do atakującego."
Dowód kodu koncepcji ataku został opublikowany na blogu Roberta Hansena, dyrektora generalnego SecTheory. opublikował także wideo z atakiem na swoim blogu.
Z jakiegoś powodu dane zaczynające się od liczb nie zapełnią pól tekstowych i nie można ich uzyskać. "Mimo to takie ataki mogłyby być łatwo i tanio dystrybuowane na masową skalę za pomocą sieci reklamowej, która prawdopodobnie nigdy by się nie pojawiła, ponieważ nie jest to kod wykorzystujący rootkity, "napisał Grossman.
" W rzeczywistości nie ma gwarancji, że to jeszcze nie nastąpiło "- napisał." Co Można bezpiecznie powiedzieć, że ta luka jest tak prosta, że zakładam, że ktoś inny musiał publicznie ją zgłosić, ale wyczerpujące wyszukiwania i prośba kilku kolegów nic nie znalazły. "
Grossman zgłosił problem Apple 17 czerwca, ale nie otrzymał jeszcze spersonalizowanej odpowiedzi.
Aby tego uniknąć sue, użytkownik może po prostu wyłączyć automatyczne formularze internetowe, napisał.
Wyślij porady i komentarze na adres [email protected]
Naukowiec: Chrome, Safari Menedżerowie hasła potrzebują pracy
Badacz bezpieczeństwa zgłasza, że przeglądarki Google Chrome i Apple Safari mają najbardziej niezabezpieczonych menedżerów haseł do przeglądarek.
Naukowiec: Praca powinna ujawniać informacje zdrowotne SEC
SEC powinna wymagać od spółek publicznych pełnego ujawnienia informacji o stanie kierownictwa w świetle Steve'a Jobsa "odejść."
Naukowiec znajduje krytyczne luki w oprogramowaniu antywirusowym Sophos
Badacz bezpieczeństwa Tavis Ormandy odkrył krytyczne luki w zabezpieczeniach oprogramowania antywirusowego opracowanego przez brytyjską firmę Sophos zajmującą się bezpieczeństwem i doradził organizacje, aby uniknąć używania produktu w krytycznych systemach, chyba że sprzedawca ulepszy opracowywanie produktów, zapewnianie jakości i praktyki w zakresie reagowania na bezpieczeństwo.