Safari Browser Hack odhaluje obavy z zabezpečení automatického vyplňování

Výzkumný pracovník v oblasti bezpečnosti zjistil slabý webový prohlížeč Safari společnosti Apple, který může útočník zneužít k získání citlivých osobních údajů. Chyba zabezpečení programu Safari je o něco závažnější, ale tento problém ilustruje základní problémy týkající se ochrany osobních údajů a bezpečnosti při práci s automatickým doplňováním.

Jeremiah Grossman, zakladatel a ředitel CTO společnosti WhiteHat Security, uvedl, že je možné, že útočník použije škodlivý webový formulář způsobit, že aplikace Safari automaticky vyplní citlivé informace, jako je název, adresa nebo e-mailová adresa z informací uložených v Apple Address Book. Problém je funkcí možnosti vyplnit formuláře "Používání informací z karty adresáře", která je ve výchozím nastavení zaškrtnutá v programu Safari.

Grossman naznačuje, že problém se týká všech prohlížečů postavených na otevřeném webovém serveru WebKit - včetně programu Safari na platformě Mac OS X i iOS, stejně jako prohlížeče Google Chrome. Koncept důkazu však nefunguje na nejnovější verzi prohlížeče Chrome a vyžaduje, aby zásah uživatele fungoval i v systému iOS.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Nahoru že tato bezpečnostní chyba se zdá více nebo méně omezena na webový prohlížeč Safari se systémem Mac OS X. Avšak vzhledem k tomu, že Mac OS X tvoří pouze pět procent trhu s operačními systémy a ne všichni uživatelé systému Mac OS X spoléhají na webu Safari prochází web, problém má poměrně malý potenciální dopad.

Grossman poukazuje na svůj příspěvek na blogu o tom, jaký je automatický doplněk Safari, rozdíl mezi možnostmi automatického vyplňování ostatních prohlížečů nebo operačních systémů a tento konkrétní problém je že Safari odevzdá citlivé údaje útočníkovi pomocí škodlivého webového serveru ", i když nikdy předtím tam nebyli, nebo zadali žádné osobní údaje."

Fakt, že Safari hack může odhalit informace, které dříve nebyly napsány dané pole dělá to vážnější je ale skutečnost spočívá v tom, že všechny funkce automatického vyplňování ve všech prohlížečích a operačních systémech představují na určité úrovni bezpečnost a ochranu soukromí. Automatické doplnění je funkce, která vyžaduje výměnu jistoty a soukromí ve prospěch pohodlí.

Automatické vyplňování je navrženo tak, aby ulehčilo život ukládáním informací, aby bylo možné je automaticky zadat při příštím použití. Nejčastěji se vyskytují s údaji o formulářích, kde uživatelé vyplňují pole, jako je jméno, adresa, telefonní číslo, e-mailová adresa apod. Po uložení dat do pole Automatické vyplňování se při příštím zadání podobného pole jednoduše kliknete na pole zobrazí se seznam položek uložených v automatické výplni nebo se začne psát, vyplní se položka s informacemi z automatického vyplňování, která odpovídá zadanému textu.

Stejně jako to, co Grossman používá k získání informací pomocí automatického vyplňování Safari, útočník by také mohl extrahovat informace, které uživatel uložil do funkce Automatické vyplňování, vytvořením škodlivého webového formuláře se společnými políčky a neviditelným testováním každého písmena abecedy, aby se zjistilo, co existují položky Automatické vyplňování.

Automatické vyplňování může také odhalit citlivé informace v dalšími způsoby. Funkce Automatické vyplňování adresního řádku webového prohlížeče může odhalit navštívené adresy URL a funkce Automatické vyplňování v programech, jako je Microsoft Excel, by mohla vystavit data nebo informace, které byly dříve zadány do jiných polí.

Nenavrhuji, Automatické doplnění a vrátit se k nepopsatelnému psaní stejných informací vždy, když to bude potřeba. Jsem však přesvědčen, že administrátoři IT a uživatelé obecně chápou, že stejné funkce, které poskytují uživateli pohodlí, také usnadňují útočníkovi porušit nebo kompromitovat uložená data.

Můžete sledovat Tonyho Facebook stránku nebo jej kontaktujte e-mailem na adrese [email protected]. Stejně tak jako Tweety @ Tony_BradleyPCW.