Car-tech

Forsker finner Safari avslører personlig informasjon

Tjen 800 dollar / dag som en nybegynner og tjen penger online (ny ClickBank-metode)

Tjen 800 dollar / dag som en nybegynner og tjen penger online (ny ClickBank-metode)
Anonim

En funksjon i Apples Safari-nettleser designet for å gjøre det lettere å fylle ut skjemaer, kan ved misbruk av hackere hente personlig informasjon, ifølge en sikkerhetsforsker.

Safari-funksjonen AutoFill er aktivert som standard og vil fylle ut informasjon for eksempel fornavn og etternavn, arbeidssted, by, stat og e-postadresse når den gjenkjenner et skjema, skrev Jeremiah Grossman, CTO for WhiteHat Security, på sin blogg. Informasjonen kommer fra Safaris lokale operativsystem adressebok.

Funksjonen dumper dataene inn i skjemaet selv om en person ikke har angitt data på et bestemt nettsted, noe som åpner en mulighet for hacker.

[Videre leser: Slik fjerner du skadelig programvare fra Windows-PCen]

"Alt et skadelig nettsted vil måtte gjøre for å utvide Adressebokdata fra Safari. Dynamisk opprett tekstfelt med de nevnte navnene, sannsynligvis usynlig, og simuler deretter AZ tastetrykkhendelser ved hjelp av JavaScript, "skrev Grossman. "Når data er fylt ut, det er AutoFyllt, kan det nås og sendes til angriperen."

Proof-of-Concept-kode for et angrep har blitt publisert på bloggen til Robert Hansen, administrerende direktør i SecTheory. Grossman Også lagt inn en video av angrepet på bloggen sin.

Av en eller annen grunn vil data som begynner med tall ikke fylle ut tekstfelt og kan ikke hentes. "Likevel kan slike angrep enkelt og billig distribueres på masseskala bruker et annonseringsnettverk hvor det sannsynligvis ingen vil bli lagt merke til fordi det ikke utnytter kode som er utformet for å levere rootkit nyttelast, "skrev Grossman.

" Faktisk er det ingen garanti for at dette ikke allerede har funnet sted, "skrev han." Hva Det er trygt å si at dette sårbarheten er så hjernedød enkel at jeg antok at noen andre må ha offentlig rapportert det allerede, men uttømmende søk og spør flere kollegaer oppviste ingenting. "Grossman rapporterte problemet til Apple den 17. juni, men han har ennå ikke mottatt et personlig svar.

For å unngå dette er Saksøke, brukere kan ganske enkelt deaktivere AutoFill Web-skjemaer, skrev han.

Send nyhetstips og kommentarer til [email protected]