Hack browser Safari rivela problemi di sicurezza di riempimento automatico

Un ricercatore di sicurezza ha rivelato una debolezza nel browser Web Safari di Apple che può essere sfruttato da un utente malintenzionato per estrarre informazioni personali riservate. La vulnerabilità di Safari è un po 'più grave, ma il problema illustra i problemi di privacy e sicurezza alla base di AutoFill in generale.

Jeremiah Grossman, fondatore e CTO di WhiteHat Security, ha riferito che è possibile che un utente malintenzionato usi un modulo Web dannoso per consentire a Safari di compilare automaticamente informazioni riservate come nome, indirizzo o indirizzo e-mail dalle informazioni memorizzate nella rubrica di Apple. Il problema è una funzione dell'opzione di compilare i moduli "Uso delle informazioni dalla mia scheda Rubrica Indirizzi", che è selezionata per impostazione predefinita in Safari.

Grossman suggerisce che il problema riguardi tutti i browser creati sul motore WebKit open source-- incluso Safari su Mac OS X e iOS, oltre al browser Google Chrome. Tuttavia, la proof-of-concept non funziona sulla versione più recente di Chrome e richiede l'intervento dell'utente per funzionare su iOS.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Il lato positivo è che questo difetto di sicurezza sembra confinato - più o meno - al browser Web Safari in esecuzione su Mac OS X. Ma poiché Mac OS X rappresenta solo circa il cinque percento del mercato dei sistemi operativi, e non tutti gli utenti Mac OS X si affidano su Safari per navigare sul Web, il problema ha un impatto potenziale relativamente piccolo.

Grossman sottolinea nel suo post sul blog di AutoFill di Safari, la differenza tra le funzionalità di Compilazione automatica di altri browser o sistemi operativi, e questo particolare problema è che Safari cederà i dati sensibili a un utente malintenzionato utilizzando un sito Web dannoso "anche se non sono mai stati lì prima o inserito alcuna informazione personale."

Il fatto che l'hack di Safari può rivelare informazioni che non erano state precedentemente digitate in un dato campo lo rende un iss più serio ma, in realtà, tutte le funzionalità di Compilazione automatica su tutti i browser e i sistemi operativi rappresentano problemi di sicurezza e privacy a un certo livello. AutoFill è una funzionalità che richiede lo scambio di sicurezza e privacy a favore della praticità.

AutoFill è progettato per semplificare la vita memorizzando le informazioni in modo che possano essere inserite automaticamente la prossima volta che è necessario. Si verifica più frequentemente con i dati dei moduli in cui gli utenti compilano campi come nome, indirizzo, numero di telefono, indirizzo e-mail, ecc. Una volta memorizzati i dati in Compilazione automatica, la successiva volta che si incontra un campo modulo simile, fare semplicemente clic sul campo rivelerà un elenco delle voci memorizzate in Compilazione automatica, o cominciando a digitare verrà inserita la voce con le informazioni di Compilazione automatica che corrisponde a ciò che viene digitato.

In modo simile a quello che Grossman utilizza per estrarre le informazioni utilizzando l'AutoFill di Safari, un utente malintenzionato potrebbe anche estrarre informazioni che un utente ha memorizzato nella funzione Compilazione automatica creando un modulo Web dannoso con campi comuni e verificando in modo invisibile ogni lettera dell'alfabeto per vedere quali voci di Compilazione automatica esistono.

La Compilazione automatica potrebbe rivelare informazioni riservate anche anche altri modi. La funzione Compilazione automatica della barra degli indirizzi del browser Web potrebbe rivelare gli URL che sono stati visitati e la funzione Compilazione automatica in programmi come Microsoft Excel potrebbe esporre dati o informazioni che sono stati precedentemente inseriti in altri campi.

Non sto suggerendo che tutti abbandonino Riempi automaticamente e torna a scrivere noiosamente le stesse informazioni ogni volta che se ne presenta la necessità. Sto, tuttavia, sostenendo che gli amministratori IT e gli utenti in generale capiscono che le stesse funzionalità che offrono praticità per l'utente rendono anche più conveniente per un utente malintenzionato di violare o compromettere i dati archiviati.

Puoi seguire Tony sul suo Pagina Facebook, o contattalo via email all'indirizzo [email protected]. Inoltre, tweets come @Tony_BradleyPCW.