Safari Browser Hack avslører sikkerhetsproblemer for sikkerhetsfeil

En sikkerhetsforsker har avslørt en svakhet i Apples Safari nettleser som kan utnyttes av en angriper til å trekke ut sensitiv personlig informasjon. Safari-sårbarheten er litt strengere, men problemet illustrerer de underliggende personvern- og sikkerhetsproblemene med AutoFill generelt.

Jeremiah Grossman, grunnlegger og CTO for WhiteHat Security, rapporterte at det er mulig for en angriper å bruke et ondsinnet webskjema for å få Safari til AutoFyll sensitiv informasjon som navn, adresse eller e-postadresse fra informasjonen som er lagret i Apple Adressebok. Problemet er en funksjon av muligheten til å fylle ut skjemaer "Bruke info fra mitt adressekartkort", som er sjekket som standard i Safari.

Grossman antyder at problemet påvirker alle nettlesere som er bygget på den åpne kilden WebKit-motoren - inkludert Safari på både Mac OS X og iOS, samt Google Chrome-nettleseren. Beviset for konseptet fungerer imidlertid ikke på den nyeste versjonen av Chrome, og krever at brukerintervensjonen skal fungere på iOS.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Oppsiden er at denne sikkerhetsfeilen synes å være begrenset - mer eller mindre - til Safari-nettleseren som kjører på Mac OS X. Men siden Mac OS X bare utgjør omtrent fem prosent av operativsystemmarkedet, og ikke alle Mac OS X-brukere stoler på på Safari for å surfe på nettet, har problemet et relativt lite potensielt inntrykk.

Grossman peker ut i hans blogginnlegg på Safari AutoFill-hack, forskjellen mellom AutoFill-funksjonene til andre nettlesere eller operativsystemer, og dette problemet er at Safari vil overgi følsomme data til en angriper ved hjelp av et ondsinnet nettsted "selv om de aldri har vært der før eller angitt noen personlige opplysninger."

Det faktum at Safari hack kan avsløre informasjon som ikke tidligere var skrevet inn i en gitt felt gjør det til en mer seriøs utgave ue, men virkeligheten er at alle AutoFill-funksjoner på tvers av alle nettlesere og operativsystemer representerer et sikkerhets- og personvernproblem på noe nivå. AutoFill er en funksjon som krever utveksling av noe sikkerhet og personvern til fordel for bekvemmelighet.

AutoFill er designet for å gjøre livet enklere ved å lagre informasjon slik at det automatisk kan skrives inn neste gang det trengs. Det er oftest møtt med skjemadata der brukerne fyller ut felt som navn, adresse, telefonnummer, e-postadresse osv. Når dataene er lagret i AutoFill, vises neste gang et lignende skjemafelt ved å klikke på feltet vil vise en liste over oppføringene som er lagret i AutoFill, eller begynner å skrive fyller inn oppføringen med informasjon fra AutoFill som samsvarer med det som skrives.

På samme måte som Grossman bruker til å trekke ut informasjon ved hjelp av Safari AutoFill-hack, kan en angriper også trekke ut opplysninger som en bruker har lagret i AutoFill-funksjonen ved å lage et skadelig webskjema med vanlige felt og usynlig teste hvert bokstav i alfabetet for å se hvilke AutoFill-oppføringer som finnes.

AutoFill kan også avsløre sensitiv informasjon i andre måter også. Funksjonen AutoFyll i adressefeltet for nettleseren kan vise nettadresser som har blitt besøkt, og funksjonen AutoFyll i programmer som Microsoft Excel kan avsløre data eller informasjon som tidligere er angitt i andre felt.

Jeg foreslår ikke at alle forlater AutoFyll og gå tilbake til kjedelig å skrive inn samme informasjon hver gang behovet oppstår. Jeg fortaler imidlertid at IT-administratorer og brukere generelt forstår at de samme funksjonene som gir brukeren bekvemmelighet, også gjør det lettere for en angriper å bryte eller kompromittere dataene som er lagret der.

Du kan følge Tony på hans Facebook-side, eller kontakt ham via e-post på [email protected]. Han tweets også som @Tony_BradleyPCW.