Jeremiah Grossman, a WhiteHat Security vezetője hívta fel a figyelmet a súlyos biztonsági hibára. A Safari 4 és 5 AutoFill funkciója ugyanis felhasználható a felhasználó teljes kontaktlistájának megszerzésére, anélkül, hogy ő ebből bármit észrevenne.
A Safari AutoFill funkciója nemcsak a korábban már beírt tartalmakat, de az Address Book kontaktjait is végignézi, és felajánlja lehetőségként. Ez önmagában még nem lenne baj, ha csak nekünk ajánlaná fel, de sajnos ezt a funkciót felhasználva egy külső támadó megszerezheti a teljes kontaktlistát, attól függetlenül, hogy használtuk-e már korábban a böngésző ezen képességét. A támadó weboldalon a kitöltendő mezőkhöz hozzá sem kell nyúlnia, sőt azokat nem is kell látnia az áldozatnak, az adatok így is megszerezhetőek.
A számokkal kezdődő tartalmakat, úgy mint a telefonszámok vagy az irányítószámmal kezdődő címek, nem lehet megszerezni a biztonsági szakember szerint.
A probléma megoldásán az Apple már gőzerővel dolgozik, addig ajánlott mindenkinek kikapcsolni az AutoFillt.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.