Взлом безопасности браузера Safari выявляет проблемы безопасности автозаполнения

Исследователь безопасности обнаружил слабость в веб-браузере Safari от Apple, которая может быть использована злоумышленником для извлечения конфиденциальной личной информации. Уязвимость Safari является немного более серьезной, но проблема иллюстрирует основные проблемы конфиденциальности и безопасности с AutoFill в целом.

Джеремия Гроссман, основатель и технический директор WhiteHat Security, сообщил, что злоумышленник может использовать вредоносную веб-форму чтобы заставить Safari автоматически заполнять конфиденциальную информацию, такую ​​как имя, адрес или адрес электронной почты, из информации, хранящейся в адресной книге Apple. Проблема заключается в возможности заполнения форм «Использование информации из моей карты адресной книги», которая по умолчанию проверяется в Safari.

Гроссман предполагает, что проблема затрагивает все браузеры, созданные на основе механизма WebKit с открытым исходным кодом - включая Safari как для Mac OS X, так и для iOS, а также для браузера Google Chrome. Тем не менее, доказательство концепции не работает с самой последней версией Chrome и требует вмешательства пользователя для работы в iOS.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

что этот недостаток безопасности кажется ограниченным - более или менее - для веб-браузера Safari, работающего на Mac OS X. Но поскольку Mac OS X составляет лишь около пяти процентов рынка операционной системы, и не все пользователи Mac OS X полагаются в Safari для просмотра в Интернете проблема имеет относительно небольшое потенциальное влияние.

Гроссман указывает в своем блоге на хакете Safari AutoFill, о различии возможностей AutoFill от других браузеров или операционных систем, и эта проблема что Safari будет передавать конфиденциальные данные злоумышленнику с использованием вредоносного веб-сайта «даже если они никогда не были там раньше или не вводили какую-либо личную информацию».

Тот факт, что хакер Safari может отображать информацию, которая ранее не была введена в данное поле делает его более серьезным ue, но на самом деле все функции AutoFill во всех браузерах и операционных системах представляют собой проблему безопасности и конфиденциальности на каком-то уровне. AutoFill - это функция, которая требует обмена некоторой безопасностью и конфиденциальностью в удобстве.

AutoFill предназначен для упрощения жизни путем хранения информации, чтобы ее можно было автоматически ввести в следующий раз, когда это необходимо. Это чаще всего встречается с данными формы, где пользователи заполняют поля, такие как имя, адрес, номер телефона, адрес электронной почты и т. Д. После того, как данные будут сохранены в AutoFill, в следующий раз, когда встретится аналогичное поле формы, просто нажмите на поле откроет список записей, хранящихся в AutoFill, или начнет вводить запись с информацией из AutoFill, которая соответствует введенному типу.

Аналогично тому, что использует Гроссман для извлечения информации с помощью взлома Safari AutoFill, злоумышленник может также извлекать информацию, которую пользователь сохранил в функции автозаполнения, создавая вредоносную веб-форму с общими полями и незаметно проверяя каждую букву алфавита, чтобы увидеть, какие записи AutoFill существуют.

Автозаполнение может также обнаруживать конфиденциальную информацию в другие способы тоже. Функция AutoFill в адресной строке веб-браузера может показывать URL-адреса, которые были посещены, а функция AutoFill в таких программах, как Microsoft Excel, может выставлять данные или информацию, которые ранее были введены в другие поля.

Я не предлагаю, чтобы все отказались AutoFill и возвращайтесь к утомительному набору той же информации каждый раз, когда возникает необходимость. Тем не менее, я сторонник того, что ИТ-администраторы и пользователи в целом понимают, что те же функции, которые обеспечивают удобство для пользователя, также делают его более удобным для злоумышленника нарушать или компрометировать хранящиеся там данные.

Вы можете следить за Тони на его Facebook страница, или свяжитесь с ним по электронной почте [email protected]. Он также чириканье как @Tony_BradleyPCW.