Safari Browser Hack afslører sikkerhedsfejl

En sikkerhedsforsker har afsløret en svaghed i Apples Safari-webbrowser, som kan udnyttes af en hacker til at udtrække følsomme personlige oplysninger. Safari sårbarheden er lidt mere alvorlig, men problemet illustrerer de underliggende privatlivs- og sikkerhedsproblemer med AutoFill generelt.

Jeremiah Grossman, grundlægger og CTO for WhiteHat Security, rapporterede, at det er muligt for en hacker at bruge et ondsindet webformular at få Safari til at AutoFyld følsomme oplysninger som navn, adresse eller e-mail-adresse fra de oplysninger, der er gemt i Apple Adressebog. Problemet er en funktion af muligheden for at udfylde formularer "Brug af info fra mit Adressebogskort", som er tjekket som standard i Safari.

Grossman foreslår, at problemet påvirker alle browsere, der er bygget på open source-WebKit-motoren - herunder Safari på både Mac OS X og iOS, samt Google Chrome-browseren. Beviset for konceptet fungerer dog ikke på den nyeste version af Chrome, og kræver, at brugerintervention skal arbejde på iOS.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Opadrettelsen er at denne sikkerhedsfejl synes at være begrænset - mere eller mindre - til Safari-webbrowseren, der kører på Mac OS X. Men da Mac OS X kun udgør omkring fem procent af operativsystemmarkedet, og ikke alle Mac OS X-brugere er afhængige på Safari for at surfe på internettet har problemet en relativt lille potentiel indvirkning.

Grossman påpeger i sit blogindlæg på Safari AutoFill hack, forskellen mellem AutoFill-funktionerne i andre browsere eller operativsystemer, og dette særlige problem er at Safari vil overgive følsomme data til en angriber ved hjælp af et ondsindet websted ", selvom de aldrig har været der før eller indtastede personlige oplysninger."

At Safari hack kan afsløre oplysninger, der ikke tidligere var indtastet i en givet felt gør det til en mere seriøs udgave Ue, men virkeligheden er, at alle AutoFill-funktioner på tværs af alle browsere og operativsystemer repræsenterer et sikkerheds- og privatlivsspørgsmål på et eller andet niveau. AutoFill er en funktion, der kræver udveksling af sikkerhed og privatliv for at gøre det lettere.

AutoFill er designet til at gøre livet lettere ved at gemme oplysninger, så det kan indtastes automatisk næste gang det er nødvendigt. Det er hyppigt ramt af formulardata, hvor brugerne udfylder felter som navn, adresse, telefonnummer, e-mail-adresse osv. Når dataene er gemt i AutoFill, ses næste gang et lignende formularfelt, blot ved at klikke på feltet vil afsløre en liste over de poster, der er gemt i AutoFill, eller begynder at skrive vil udfylde posten med oplysninger fra AutoFill, der svarer til, hvad der skrives.

På samme måde som Grossman bruger til at udtrække information ved hjælp af Safari AutoFill hack, kan en hacker også udtrække oplysninger, som en bruger har gemt i funktionen AutoFill, ved at oprette en ondsindet webformular med fælles felter og usynligt teste hvert bogstav i alfabetet for at se, hvilke autofyldte poster der findes.

AutoFill kan også afsløre følsomme oplysninger i andre måder også. Funktionen AutoFill i adressefeltet i webbrowseren kan afsløre webadresser, der er blevet besøgt, og funktionen Autofyld i programmer som Microsoft Excel kan afsløre data eller oplysninger, der tidligere er indtastet i andre felter.

Jeg foreslår ikke, at alle overgiver AutoFyld og gå tilbage til kedeligt at skrive i samme information hver gang behovet opstår. Jeg fortaler dog, at it-administratorer og brugere generelt forstår, at de samme funktioner, der giver brugeren bekvemmelighed, også gør det lettere for en hacker at krænke eller kompromittere de data, der er gemt der.

Du kan følge Tony på hans Facebook side, eller kontakt ham via email på [email protected]. Han tweets også som @Tony_BradleyPCW.