Car-tech

Penyelidik Mencari Safari Mendedahkan Maklumat Peribadi

Dedahkan jumlah simpanan Akaun 1 KWSP - Ketua Penerangan UMNO

Dedahkan jumlah simpanan Akaun 1 KWSP - Ketua Penerangan UMNO
Anonim

Ciri dalam pelayar Safari Apple yang direka untuk mempermudah mengisi borang boleh disalahgunakan oleh penggodam untuk menuai maklumat peribadi, menurut penyelidik keselamatan.

Ciri AutoFill Safari diaktifkan secara lalai dan akan mengisi maklumat seperti nama pertama dan nama belakang, tempat kerja, bandar, negeri, dan alamat e-mel apabila ia mengiktiraf bentuk, menulis Jeremiah Grossman, CTO untuk WhiteHat Security, di blognya. Maklumat ini berasal dari buku alamat sistem operasi tempatan Safari.

Ciri ini membuang data ke dalam bentuk walaupun seseorang tidak memasuki data di laman web tertentu, yang membuka kesempatan untuk penggodam.

[Selanjutnya membaca: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]

"Semua tapak web yang berniat jahat perlu dilakukan untuk secara puratanya mengekstrak data kad Buku Alamat dari Safari secara dinamik mewujudkan medan teks bentuk dengan nama-nama yang disebutkan di atas, mungkin secara tidak jelas, dan kemudian mensimulasikan AZ peristiwa keystroke menggunakan JavaScript, "tulis Grossman. "Apabila data diduduki, itu AutoFill'ed, ia boleh diakses dan dihantar kepada penyerang."

Kod bukti-konsep untuk serangan telah diterbitkan di blog Robert Hansen, Ketua Pegawai Eksekutif SecTheory. juga menyiarkan video serangan itu di blognya

. Untuk sebab tertentu, data yang bermula dengan nombor tidak akan mengisi medan teks dan tidak dapat diperolehi. "Namun, serangan tersebut dapat dengan mudah dan murah diedarkan pada skala besar-besaran menggunakan rangkaian pengiklanan di mana mungkin tidak ada orang yang melihatnya kerana ia tidak mengeksploitasi kod yang direka untuk menghantar muatan rootkit, "tulis Grossman.

" Sebenarnya, tidak ada jaminan ini belum terjadi, "tulisnya. adalah selamat untuk mengatakan bahawa kelemahan ini begitu sederhana otak mati yang saya anggap orang lain mesti telah melaporkannya secara terbuka, tetapi pencarian menyeluruh dan meminta beberapa rakan sekerja tidak muncul apa-apa. "

Grossman melaporkan masalah itu kepada Apple pada 17 Jun, tetapi dia masih belum menerima balasan peribadi.

Untuk mengelakkan ini Saman, pengguna hanya boleh melumpuhkan borang Web AutoFill, dia menulis.

Kirimkan petua dan komen berita ke [email protected]