Hacker Pelayar Safari Mendedahkan Kebimbangan Keselamatan Auto Isi

Seorang penyelidik keselamatan telah mendedahkan kelemahan dalam Safari Web pelayar Apple yang boleh dieksploitasi oleh penyerang untuk mengekstrak maklumat peribadi yang sensitif. Kerentanan Safari sedikit lebih teruk, tetapi isu ini menggambarkan kebimbangan privasi dan keselamatan yang mendasari AutoFill secara amnya.

Jeremiah Grossman, pengasas dan CTO of WhiteHat Security, melaporkan bahawa mungkin penyerang menggunakan bentuk Web yang berniat jahat untuk menyebabkan Safari memuatkan maklumat sensitif seperti nama, alamat, atau alamat e-mel daripada maklumat yang disimpan dalam Buku Alamat Apple. Isu ini adalah fungsi pilihan untuk mengisi borang "Menggunakan info dari kad Buku Alamat saya" yang diperiksa secara lalai di Safari.

Grossman mencadangkan bahawa isu itu mempengaruhi semua pelayar yang dibina di enjin WebKit sumber terbuka - termasuk Safari pada kedua-dua Mac OS X dan iOS, serta penyemak imbas Google Chrome. Bagaimanapun, konsep bukti tidak berfungsi pada versi Chrome yang terkini, dan memerlukan campur tangan pengguna untuk berfungsi pada iOS.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

bahawa kecacatan keselamatan ini kelihatannya terbatas - lebih kurang - kepada penyemak imbas Web Safari yang berjalan pada Mac OS X. Tetapi, sejak Mac OS X hanya menyusun sekitar lima peratus dari pasaran sistem operasi, dan tidak semua pengguna Mac OS X bergantung pada Safari untuk melayari Web, masalah itu mempunyai potensi yang berpotensi kecil.

Grossman menunjukkan dalam catatan blognya pada hack Safari AutoFill, perbezaan antara keupayaan AutoFill penyemak imbas atau sistem operasi lain, dan isu khusus ini bahawa Safari akan menyerahkan data sensitif kepada penyerang yang menggunakan laman web yang berniat jahat "bahkan jika mereka tidak pernah berada di sana sebelum atau memasuki sebarang maklumat peribadi."

Fakta bahawa hack Safari dapat mengungkap informasi yang tidak pernah ditaip ke Bidang yang diberikan menjadikan ia lebih serius Tetapi, kenyataannya ialah semua ciri AutoFill di semua pelayar dan sistem pengendalian mewakili kebimbangan keselamatan dan privasi pada beberapa peringkat. AutoFill adalah ciri yang memerlukan pertukaran beberapa keselamatan dan privasi yang memihak kepada kemudahan.

AutoFill direka untuk menjadikan kehidupan lebih mudah dengan menyimpan maklumat supaya ia dapat dimasukkan secara automatik pada waktu berikutnya diperlukan. Ia sering dihadapi dengan data borang di mana pengguna mengisi medan seperti nama, alamat, nombor telefon, alamat e-mel, dan sebagainya. Setelah data disimpan di AutoFill, pada masa lain, medan borang yang sama ditemui hanya klik pada medan akan mendedahkan senarai penyertaan yang disimpan dalam AutoFill, atau mula mengetik akan mengisi entri dengan maklumat dari AutoFill yang sepadan dengan apa yang sedang ditaip.

Dengan cara yang serupa dengan apa yang digunakan oleh Grossman untuk mengekstrak maklumat menggunakan hack AutoFill Safari, penyerang juga boleh mengekstrak maklumat yang disimpan oleh pengguna dalam ciri Auto Isi dengan membuat suatu bentuk Web yang berniat jahat dengan medan umum dan tidak dapat menguji setiap huruf abjad untuk melihat apa yang ada Auto Isi entri.

AutoFill juga boleh mendedahkan maklumat sensitif dalam cara lain juga. Ciri Auto Isi dari bar alamat pelayar Web mungkin mendedahkan URL yang telah dilawati, dan ciri Auto Isi dalam program seperti Microsoft Excel dapat mendedahkan data atau informasi yang sebelumnya telah dimasukkan ke dalam bidang lain.

Saya tidak menyarankan agar semua orang meninggalkan Auto Isi dan kembali ke menaip dengan cepat dalam maklumat yang sama setiap kali keperluan timbul. Walau bagaimanapun, saya menganjurkan bahawa pentadbir IT dan pengguna secara umum memahami bahawa ciri-ciri yang sama yang memberi kemudahan kepada pengguna juga menjadikannya lebih mudah bagi penyerang melanggar atau mengompromikan data yang disimpan di sana.

Anda boleh mengikuti Tony di atasnya Halaman Facebook, atau hubunginya melalui e-mel di [email protected]. Dia juga tweet seperti @Tony_BradleyPCW.