Safari Browser Hack otkriva sigurnosne probleme za automatsko popunjavanje

Istraživač sigurnosti otkrio je slabost u Appleovom pregledniku Safari koji napadač može iskoristiti za izdvajanje osjetljivih osobnih podataka. Safarija ranjivost je malo teža, ali problem pokazuje osnovne privatne i sigurnosne probleme s AutoFill općenito.

Jeremiah Grossman, osnivač i CTO WhiteHat Security, izvijestio je da je moguće da napadač koristi zlonamjerni web obrazac uzrokovati da Safari automatski popuni osjetljive podatke kao što su ime, adresa ili adresa e-pošte iz podataka pohranjenih u Apple adresaru. Problem je funkcija opcije za popunjavanje obrasca "Korištenje podataka iz moje kartice adresara", koji se prema zadanim postavkama provjerava u Safaru.

Grossman predlaže da problem utječe na sve preglednike izgrađene na open source WebKit motoru - uključujući Safari na oba Mac OS X i iOS, kao i preglednik Google Chrome. Međutim, dokaz o konceptu ne funkcionira na najnovijoj verziji Chromea i zahtijeva intervenciju korisnika za rad na iOS-u.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Naopako je da je ovaj sigurnosni nedostatak ograničen - više ili manje - na Safari web preglednik koji se izvodi na Mac OS X. No, budući da Mac OS X čini samo oko pet posto tržišta operacijskog sustava, a ne svi korisnici Mac OS X na Safaru za pregledavanje weba, problem ima relativno mali potencijalni učinak.

Grossman ističe u svojem blogu na Safari AutoFill hacku, razliku između mogućnosti automatskog popunjavanja drugih preglednika ili operativnih sustava, a ovo je pitanje da će Safari predati osjetljive podatke napadaču koristeći zlonamjerne web stranice "čak i ako nikada prije nisu bili tamo ili unijeli nikakve osobne podatke".

Činjenica da Safari hack može otkriti informacije koje prije nisu bile upisane u dano polje čini ga ozbiljnijim ali stvarnost je da sve značajke automatskog popunjavanja u svim preglednicima i operacijskim sustavima predstavljaju sigurnost i zabrinutost za privatnost na nekoj razini. Automatsko ispunjavanje je značajka koja zahtijeva izmjenu neke sigurnosti i privatnosti u korist pogodnosti.

Automatsko ispunjavanje je dizajnirano kako bi život jednostavnije pohranjivao informacije tako da se može automatski unijeti sljedeći put kada je to potrebno. Najčešće se susreće s podacima o obrascima gdje korisnici ispunjavaju polja poput imena, adrese, telefonskog broja, adrese e-pošte itd. Nakon što se podaci pohranjuju u AutoFill, sljedeći put kada se susreće sličan polje obrasca jednostavno klikom na polje će otkriti popis unosa pohranjenih u AutoFill, ili početak upisivanja ispunit će unos s informacijama iz AutoFill koji odgovara onome što se upisuje.

Na sličan način kao što Grossman koristi za ekstrakciju podataka pomoću Safari AutoFill hacka, napadač može izvući informacije koje je korisnik pohranio u značajku automatskog popunjavanja stvaranjem zlonamjernog web-obrasca s uobičajenim poljima i neprimjetno testiranjem svakog slova abecede da bi vidjeli unose Automatskog popunjavanja.

Automatsko popunjavanje također može otkriti osjetljive podatke u i na druge načine. Značajka automatskog popunjavanja adresne trake web-preglednika može otkriti URL-ove koji su posjetili, a značajka automatskog popunjavanja programa poput Microsoft Excela mogla bi otkriti podatke ili podatke koji su prethodno uneseni u druga polja.

Ne predlažem da svi napuste AutoFill i vratite se na zamoran upisivanjem istih informacija svaki put kada to bude potrebno. Međutim, zagovaram da IT administratori i korisnici općenito shvaćaju da iste značajke koje korisnicima pružaju pogodnost i olakšavaju napadanje korisnika da krši ili kompromitira tamo pohranjene podatke.

Možete pratiti Tonya na njegovu Facebook stranicu, ili se obratite e-poštom na adresu [email protected]. Također tweets kao @Tony_BradleyPCW.