Safari-browser Hack onthult automatisch aanvullen Veiligheidsrisico's

Een beveiligingsonderzoeker heeft een zwakke plek in de Safari-webbrowser van Apple onthuld die kan worden uitgebuit door een aanvaller om gevoelige persoonlijke gegevens te extraheren. De kwetsbaarheid van Safari is iets ernstiger, maar het probleem illustreert de onderliggende privacy- en veiligheidsproblemen met AutoFill in het algemeen.

Jeremia Grossman, oprichter en CTO van WhiteHat Security, meldde dat een aanvaller een kwaadwillig webformulier kan gebruiken om Safari ertoe te brengen om gevoelige informatie zoals naam, adres of e-mailadres automatisch te vullen met de informatie die is opgeslagen in het Apple-adresboek. Het probleem is een functie van de optie om formulieren in te vullen "Informatie uit mijn adresboek gebruiken", die standaard is aangevinkt in Safari.

Grossman suggereert dat het probleem van invloed is op alle browsers die zijn gebouwd op de open source WebKit-engine-- inclusief Safari op zowel Mac OS X als iOS, evenals de Google Chrome-browser. De proof-of-concept werkt echter niet op de meest recente versie van Chrome en vereist tussenkomst van de gebruiker om te werken op iOS.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Het voordeel is dat deze beveiligingsfout min of meer beperkt lijkt tot de Safari-webbrowser op Mac OS X. Maar omdat Mac OS X maar ongeveer vijf procent van de besturingssysteemmarkt beslaat en niet alle Mac OS X-gebruikers vertrouwen op in Safari voor surfen op het web, heeft het probleem een ​​relatief kleine potentiële impact.

Grossman wijst in zijn blogpost op de Safari AutoFill hack, het verschil tussen de AutoFill-mogelijkheden van andere browsers of besturingssystemen, en dit specifieke probleem is dat Safari vertrouwelijke gegevens aan een aanvaller overgeeft met behulp van een kwaadwillende website "zelfs als ze er nooit eerder zijn geweest of persoonlijke gegevens hebben ingevoerd."

Het feit dat de Safari-hack informatie kan onthullen die nog niet eerder is ingevoerd gegeven veld maakt het een serieuzere iss ue, maar de realiteit is dat alle functies voor automatisch aanvullen in alle browsers en besturingssystemen op een bepaald niveau een beveiligings- en privacykwestie vormen. Automatisch aanvullen is een functie die enige veiligheid en privacy vereist ten gunste van gemak.

AutoFill is ontworpen om het leven eenvoudiger te maken door informatie op te slaan, zodat het automatisch de volgende keer dat het nodig is, kan worden ingevoerd. Het komt het meest vaak voor bij formuliergegevens waarbij gebruikers velden invullen zoals naam, adres, telefoonnummer, e-mailadres, enz. Zodra de gegevens zijn opgeslagen in Automatisch aanvullen, wordt de volgende keer dat een vergelijkbaar formulierveld wordt gevonden eenvoudigweg op het veld geklikt onthult een lijst met de items die zijn opgeslagen in Automatisch aanvullen, of begint te typen en vult het gegeven in met informatie uit Automatisch aanvullen dat overeenkomt met wat wordt getypt.

Op dezelfde manier als wat Grossman gebruikt om informatie te extraheren met de Safari AutoFill-hack, een aanvaller kan ook informatie extraheren die een gebruiker heeft opgeslagen in de functie Automatisch aanvullen door een kwaadaardig webformulier met gemeenschappelijke velden te maken en elke letter van het alfabet onzichtbaar te testen om te zien welke vermeldingen voor Automatisch aanvullen bestaan.

Automatisch aanvullen kan ook gevoelige informatie onthullen in andere manieren ook. De functie Automatisch aanvullen van de adresbalk van de webbrowser kan URL's onthullen die zijn bezocht en de functie Automatisch aanvullen in programma's zoals Microsoft Excel kan gegevens of informatie die eerder in andere velden is ingevoerd, blootstellen.

Ik suggereer niet dat iedereen het veld verlaat Automatisch aanvullen en ga terug naar het moeizaam typen van dezelfde informatie telkens wanneer dat nodig is. Ik pleit er echter voor dat IT-beheerders en gebruikers in het algemeen begrijpen dat dezelfde functies die gemak bieden voor de gebruiker het ook gemakkelijker maken voor een aanvaller om de gegevens die daar zijn opgeslagen, te schenden of compromitteren.

Je kunt Tony volgen op zijn Facebook-pagina, of neem contact met hem op via e-mail op [email protected]. Hij tweets ook als @Tony_BradleyPCW.