Defecțiune de securitate în Safari
În iulie, un expert în securitate a atras atenția asupra unei vulnerabilități specifice din browserul Safari al Apple. Eroarea prezentată de Jeremiah Grossman a atras atenția profesiei, deoarece a făcut posibilă obținerea datelor personale ale utilizatorilor cu o palmă. Tot ce trebuia să faceți a fost să vorbiți despre funcția de completare automată a programului, care a preluat datele utilizatorilor din directorul Mac OS X și a trădat datele utilizatorilor pe un site web „întrebând cu îndemânare” dacă nu a fost introdus niciodată într-un browser înainte.
Cu o zi înainte ca expertul să dezvăluie vulnerabilitatea la conferința hackerilor Black Hat, Apple a lansat un patch pentru a corecta bug-ul. Cu toate acestea, Grossman a observat că pata nu era perfectă. De asemenea, el a notificat compania cu privire la acest lucru, dar nu a răspuns mult timp la raport.
După instalarea patch-ului, obținerea datelor nu este la fel de evidentă ca pe vremuri, dar încă nu este complicată. Așa cum scrie Grossman în postarea sa de blog despre acest lucru: de data aceasta, apăsarea celor două taste va forța utilizatorul să discute cu browserul. În scenariul de atac pe care îl subliniază, site-ul web verifică, de exemplu, după adresa IP, din ce țară provine utilizatorul de internet. Datele pot fi apoi recuperate prin convingerea utilizatorului: apăsați prima literă a numelui țării de pe tastatură (de exemplu, U pentru Statele Unite), apoi apăsați TAB. Acesta din urmă este necesar pentru ca Safari să completeze automat acest și alte câmpuri de date în același timp.
Bineînțeles, câmpurile de date de pe site-ul web utilizate pentru furtul de date nu ar fi vizibile (ca în videoclipul în scop demonstrativ), în schimb, acestea ar fi înlocuite cu o imagine a unui joc care ar putea fi lansat cu tastele așteptate de atacator. Și cele două apăsări de taste sunt suficiente pentru ca Safari să elibereze datele.
Potrivit lui Grossman, această vulnerabilitate nu este ușor de eliminat prin păstrarea funcției. „Nu am idee că Apple intenționează să remedieze eroarea. Din fericire, utilizatorii sensibili la securitate nu au nevoie de un patch pentru a se proteja: dezactivați completarea automată. Acest lucru este foarte recomandat ”, scrie expertul.
- Index - Tech - Terapiile alternative au grăbit moartea lui Steve Jobs
- Index - Tech - Touch 2013 Office Touch
- Index - Tech - Deci, nu trebuie să vă gândiți la nimic care să vină pe placa dvs. inteligentă
- Index - Tehnologie - Deveniți milionar Youtube!
- Index - Tech - Motorola V100 oaspeți cinci