Safari Browser Hack avslöjar säkerhetsfel i säkerhetsfel

En säkerhetsforskare har avslöjat en svaghet i Apples Safari-webbläsare som kan utnyttjas av en angripare att extrahera känslig personlig information. Safari-sårbarheten är lite svårare, men problemet visar de underliggande integritets- och säkerhetsproblemen med AutoFill i allmänhet.

Jeremiah Grossman, grundare och CTO för WhiteHat Security, rapporterade att det är möjligt för en angripare att använda ett skadligt webbformulär för att få Safari att automatiskt fylla i känslig information som namn, adress eller e-postadress från informationen som lagras i Apples adressbok. Problemet är en funktion av möjligheten att fylla i formulär "Använda information från mitt adressbokskort", som är standardkontrollerat i Safari.

Grossman föreslår att problemet påverkar alla webbläsare som är byggda på WebKit-motorn med öppen källkod - inklusive Safari på både Mac OS X och iOS, liksom Google Chrome-webbläsaren. Konceptet för konceptet fungerar dock inte på den senaste versionen av Chrome, och kräver att användarintervention ska fungera på iOS.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Uppsidan är att denna säkerhetsfel verkar begränsad - mer eller mindre - till Safari-webbläsaren som körs på Mac OS X. Men eftersom Mac OS X bara utgör cirka fem procent av operativsystemmarknaden och inte alla Mac OS X-användare lita på Safari för att surfa på webben, har problemet en relativt liten potentiell inverkan.

Grossman pekar ut i hans blogginlägg på Safari AutoFill-hacken, skillnaden mellan AutoFill-funktionerna hos andra webbläsare eller operativsystem, och det här problemet är att Safari kommer att överlämna känslig data till en angripare som använder en skadlig webbplats ", även om de aldrig har varit där tidigare eller angett någon personlig information."

Det faktum att Safari hack kan avslöja information som inte tidigare skrivits in i en givet fält gör det till en mer allvarlig utgåva oj, men verkligheten är att alla AutoFill-funktioner över alla webbläsare och operativsystem representerar en säkerhets- och integritetsfråga på en viss nivå. AutoFill är en funktion som kräver utbyte av viss säkerhet och integritet för att göra det bekvämt.

AutoFill är utformad för att göra livet enklare genom att lagra information så att den automatiskt kan matas in nästa gång det behövs. Det förekommer oftast med formulärdata där användarna fyller i fält som namn, adress, telefonnummer, e-postadress osv. När data har lagrats i AutoFill, kommer nästa gång ett liknande formulärfält uppträda helt enkelt på fältet kommer att avslöja en lista över de poster som lagrats i AutoFill, eller börjar att skriva kommer att fylla i posten med information från AutoFill som matchar vad som skrivs.

På samma sätt som Grossman använder för att extrahera information med Safari AutoFill-hack kan en angripare också extrahera information som en användare har lagrat i funktionen AutoFill genom att skapa en skadlig webbformulär med vanliga fält och osynligt testa varje bokstav i alfabetet för att se vilka autofyllningsuppgifter som finns.

AutoFill kan också avslöja känslig information i på andra sätt. Funktionen AutoFill i adressfältet i webbläsaren kan avslöja webbadresser som har besökts, och funktionen AutoFill i program som Microsoft Excel kan avslöja data eller information som tidigare har angetts i andra fält.

Jag föreslår inte att alla överger AutoFyll och gå tillbaka till kedjan att skriva in samma information varje gång behovet uppstår. Jag förespråkar dock att IT-administratörer och användare i allmänhet förstår att samma funktioner som ger användarvänligheten också göra det bekvämare för en angripare att bryta eller kompromissa med de data som finns lagrade där.

Du kan följa Tony på hans Facebook-sida, eller kontakta honom via e-post på [email protected]. Han tweets också som @Tony_BradleyPCW.