2020 i9 5K iMac vs Mac Pro & iMac Pro for Video Editors!
Een functie in de Safari-browser van Apple die is ontworpen om het invullen van formulieren gemakkelijker te maken, kan door hackers worden misbruikt om persoonlijke informatie te verzamelen, aldus een beveiligingsonderzoeker.
De functie Automatisch opvullen van Safari is standaard ingeschakeld en vult informatie in zoals voor- en achternaam, werkplek, stad, staat en e-mailadres als het een formulier herkent, schreef Jeremiah Grossman, CTO voor WhiteHat Security, op zijn blog. De informatie komt uit het adresboek van het lokale besturingssysteem van Safari.
De functie dumpt de gegevens in het formulier, zelfs als een persoon geen gegevens op een bepaalde website heeft ingevoerd, wat een mogelijkheid voor een hacker opent.
[Meer informatie] lezen: Hoe malware van uw Windows-pc te verwijderen]"Alles wat een kwaadwillende website zou moeten doen om op sluipende wijze adresboekgegevens uit Safari te extraheren, is dynamisch formuliervelden met de eerder genoemde namen te maken, waarschijnlijk onzichtbaar, en dan AZ te simuleren toetsaanslagen met JavaScript, "schreef Grossman. "Wanneer gegevens worden ingevuld, dat is AutoFill'ed, kan het worden geopend en verzonden naar de aanvaller."
Proof-of-concept code voor een aanval is gepubliceerd op de blog van Robert Hansen, CEO van SecTheory. heeft ook een video van de aanval op zijn blog gepost.
Om een bepaalde reden zullen gegevens die beginnen met getallen geen tekstvelden invullen en niet kunnen worden verkregen. "Toch kunnen dergelijke aanvallen gemakkelijk en goedkoop op grote schaal worden verspreid een advertentienetwerk gebruiken waar waarschijnlijk niemand het ooit zou opmerken, omdat het geen exploit-code is die is ontworpen om rootkit-payload te leveren, "schreef Grossman.
" In feite is er geen garantie dat dit nog niet heeft plaatsgevonden ", schreef hij. is veilig om te zeggen dat deze kwetsbaarheid zo hersenendood is dat ik ervan uitging dat iemand anders het al publiekelijk had moeten melden, maar dat uitgebreide zoekacties en het vragen aan verschillende collega's niets opleverden. Grossman meldde het probleem op 17 juni aan Apple. maar hij moet nog een persoonlijk antwoord ontvangen.
Om dit te voorkomen is het zo sue, gebruikers kunnen gewoon AutoFill Web-formulieren uitschakelen, zo schreef hij.
Stuur nieuwstips en opmerkingen naar [email protected]
Onderzoeker vindt mogelijke bug op Apple's IPhone
Aanvaller heeft eerst een werkende exploit nodig, maar kan dan op afstand SMS-berichten en andere gegevens lezen
Onderzoeker vindt kritieke kwetsbaarheden in Sophos-antivirusproduct
Beveiligingsonderzoeker Tavis Ormandy ontdekte kritieke kwetsbaarheden in het antivirusproduct ontwikkeld door het Britse beveiligingsbedrijf Sophos en werd geadviseerd organisaties om te voorkomen dat het product op kritieke systemen wordt gebruikt, tenzij de leverancier zijn productontwikkeling, kwaliteitsborging en beveiligingsrespons verbetert.
Privacygroep: Google deelt te veel persoonlijke informatie met ontwikkelaars
De Amerikaanse Federal Trade Commission en het kantoor van de procureur-generaal in Californië moeten onderzoeken Google Wallet-service voor het delen van persoonlijke gegevens van app-kopers met app-ontwikkelaars, een privacygroep.