Turisti disturbano un leone che mangia, la reazione dell'animale è spaventosa
Una funzionalità del browser Safari di Apple progettata per semplificare la compilazione di moduli potrebbe essere sfruttata dagli hacker per raccogliere informazioni personali, secondo un ricercatore di sicurezza.
La funzione di riempimento automatico di Safari è abilitata per impostazione predefinita e compila le informazioni come nome e cognome, luogo di lavoro, città, stato e indirizzo e-mail quando riconosce un modulo, ha scritto Jeremiah Grossman, CTO per WhiteHat Security, sul suo blog. Le informazioni provengono dalla rubrica del sistema operativo locale di Safari.
La funzione salva i dati nel modulo anche se una persona non ha inserito dati su un particolare sito Web, il che apre un'opportunità per un hacker.
[Ulteriori informazioni lettura: come rimuovere malware dal PC Windows]"Tutto ciò che un sito Web dannoso dovrebbe fare per estrarre surrettiziamente i dati della scheda Rubrica da Safari è creare dinamicamente campi di testo con i nomi sopra indicati, probabilmente in modo invisibile, quindi simulare AZ eventi di battitura utilizzando JavaScript ", ha scritto Grossman. "Quando i dati sono popolati, che è compilato automaticamente, è possibile accedervi e inviarlo all'attaccante."
Codice di prova per un attacco è stato pubblicato sul blog di Robert Hansen, CEO di SecTheory. ha anche pubblicato un video dell'attacco sul suo blog.
Per qualche ragione, i dati che iniziano con i numeri non popoleranno campi di testo e non possono essere ottenuti. "Tuttavia, tali attacchi potrebbero essere distribuiti facilmente ed economicamente su larga scala utilizzando una rete pubblicitaria dove probabilmente nessuno se ne accorgerebbe perché non è un codice di exploit progettato per distribuire il carico utile del rootkit ", ha scritto Grossman.
" In effetti, non è garantito che ciò non sia già avvenuto ", ha scritto. è sicuro di dire che questa vulnerabilità è così semplice e cerebrale che ho pensato che qualcun altro debba averlo già segnalato pubblicamente, ma ricerche esaustive e chiedere a diversi colleghi non hanno rivelato nulla. "
Grossman ha riferito il problema ad Apple il 17 giugno, ma deve ancora ricevere una risposta personalizzata.
Per evitare questo è Sue, gli utenti possono semplicemente disabilitare i moduli di AutoCompilazione Web, ha scritto.
Invia suggerimenti e commenti a [email protected]
Ricercatore di sicurezza rivela difetti di progettazione iPhone
L'iPhone di Apple ha due difetti di progettazione che potrebbero comportare potenziali problemi di sicurezza, secondo un ricercatore.
Ricercatore: i lavori devono divulgare informazioni sulla salute a SEC
La SEC dovrebbe richiedere alle aziende pubbliche di divulgare completamente le informazioni sulla salute dei dirigenti alla luce di Steve Jobs 'lasciare.
Gruppo di privacy: Google condivide troppe informazioni personali con gli sviluppatori
La Federal Trade Commission statunitense e l'Ufficio del Procuratore generale della California dovrebbero indagare Il servizio Google Wallet per condividere le informazioni personali degli acquirenti delle app con gli sviluppatori di app, ha dichiarato un gruppo sulla privacy.