Hack przeglądarki Safari ujawnia problemy związane z bezpieczeństwem autouzupełniania

Badacz bezpieczeństwa ujawnił słabość przeglądarki Safari firmy Apple, która może zostać wykorzystana przez osobę atakującą w celu wydobycia poufnych danych osobowych. Luka Safari jest nieco ostrzejsza, ale problem ilustruje ogólne obawy związane z prywatnością i bezpieczeństwem w programie AutoFill.

Jeremiah Grossman, założyciel i dyrektor techniczny WhiteHat Security, poinformował, że atakujący może użyć złośliwego formularza internetowego aby spowodować, że Safari będzie automatycznie wypełniać poufne informacje, takie jak imię i nazwisko, adres lub adres e-mail, z informacji zapisanych w książce adresowej Apple. Problem jest funkcją opcji wypełniania formularzy "Używanie informacji z mojej książki adresowej", która jest domyślnie zaznaczona w Safari.

Grossman sugeruje, że problem dotyczy wszystkich przeglądarek zbudowanych na otwartym kodzie źródłowym WebKit: w tym Safari na Mac OS X i iOS, a także na przeglądarce Google Chrome. Jednak proof-of-concept nie działa w najnowszej wersji Chrome i wymaga interwencji użytkownika przy pracy z systemem iOS.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Plusem jest ta luka bezpieczeństwa wydaje się być ograniczona - mniej lub bardziej - do przeglądarki Safari działającej w systemie Mac OS X. Ale ponieważ Mac OS X stanowi tylko pięć procent rynku systemu operacyjnego, a nie wszyscy użytkownicy Mac OS X polegają w Safari do przeglądania sieci problem ten ma stosunkowo niewielki potencjalny wpływ.

Grossman wskazuje na swoim blogu na temat hakowania Safari AutoFill, różnica między możliwościami autouzupełniania innych przeglądarek lub systemów operacyjnych, a ten problem jest że Safari przekaże dane poufne osobie atakującej za pomocą złośliwej witryny internetowej "nawet jeśli nigdy wcześniej tam nie było ani nie wprowadziła żadnych danych osobowych."

Fakt, że hackowanie Safari może ujawnić informacje, które wcześniej nie były wpisane w dane pole czyni go poważniejszym ale rzeczywistość jest taka, że ​​wszystkie funkcje autouzupełniania we wszystkich przeglądarkach i systemach operacyjnych stanowią problem bezpieczeństwa i prywatności na pewnym poziomie. Autouzupełnianie to funkcja wymagająca wymiany pewnej ochrony i prywatności na rzecz wygody.

Funkcja Autouzupełnianie ma na celu uprościć życie dzięki przechowywaniu informacji, aby można było automatycznie wprowadzić ją następnym razem, gdy jest potrzebna. Najczęściej spotyka się z danymi formularza, w których użytkownicy wypełniają pola takie jak imię i nazwisko, adres, numer telefonu, adres e-mail itp. Po zapisaniu danych w funkcji Automatyczne wypełnianie, następnym razem, gdy napotkane zostanie podobne pole formularza, wystarczy kliknąć pole pokaże listę wpisów zapisanych w Autouzupełnianiu, lub od początku do wpisu zostanie wpisana informacja z Autouzupełniania, która pasuje do tego, co jest wpisane.

W podobny sposób jak Grossman używa do wyodrębniania informacji za pomocą ataku automatycznego AutoFill osoba atakująca może także wyodrębnić informacje przechowywane przez użytkownika w funkcji automatycznego wypełniania, tworząc złośliwy formularz internetowy z typowymi polami i niewidzialnie testując każdą literę alfabetu, aby zobaczyć, jakie wpisy Autouzupełniania istnieją.

Autouzupełnianie może również ujawnić poufne informacje w inne sposoby. Funkcja autouzupełniania paska adresu przeglądarki internetowej może ujawniać odwiedzone adresy URL, a funkcja autouzupełniania w programach takich jak Microsoft Excel może ujawniać dane lub informacje, które zostały wcześniej wprowadzone w innych polach.

Nie sugeruję, aby wszyscy porzucili Autouzupełnianie i powrót do żmudnego wpisywania tych samych informacji za każdym razem, gdy zajdzie taka potrzeba. Opowiadam się jednak za tym, aby administratorzy IT i użytkownicy ogólnie rozumieli, że te same funkcje, które zapewniają wygodę dla użytkownika, również ułatwiają atakującemu złamanie lub przechwycenie danych tam przechowywanych.

Możesz śledzić Tony'ego na jego temat Strona na Facebooku lub skontaktuj się z nim e-mailem pod adresem [email protected]. Dodał także tweety jako @Tony_BradleyPCW.