Bezpečnostná chyba v Safari využíva funkciu AutoFill a umožňuje prístup k osobným údajom používateľa

Novinky | Tomáš Beleš, 27. September 2010

Safari Icon

Jeremiah Grossman bol zodpovedný za odhalenie bezpečnostnej chyby v Safari, vďaka ktorej mohli útočníci získať všetky používateľove informácie zadané v Address Booku úplne automaticky prostredníctvom funkcie AutoFill jednoduchým navštívením „nebezpečných“ stránok. Túto chybu napokon vyriešila aktualizácia Safari 5.0.1, no teraz prišiel Grossman s odhalením ďalšej podobnej chyby.

Safari bezpečnostná chyba AutoFill
---

Od predošlej sa líši tým, že od používateľa vyžaduje viac aktivity, konkrétne stlačenie dvoch tlačidiel. Ako ukážku uvádza online hru, ktorá navádza používateľa na stlačenie klávesy „U“ pre jej spustenie a Tabulátora pre zobrazenie ďalších možností. V prípade cieleného vypisovania formulárov by tieto dve klávesy stačili pre automatické doplnenie ostatných informácií funkciou AutoFill. „U“ tu totiž predstavuje začiatok písania krajiny, v tomto prípade US, pričom potrebu stlačenia „U“ napríklad v spomínanej hre rozpoznajú stránky na základe IP adresy návštevníka, slovenských návštevníkov by hra vyzvala k stlačeniu „S“. Tabulátor len prepne používateľa pri vypisovaní formulárov na ďalšie pole, kedy sa už k slovu hlási AutoFill a automaticky doplní všetky známe informácie z Address Booku.

Pre útočníka je teda práca pomerne jednoduchá, horšie to bude mať Apple, ktorý už bol o probléme informovaný. Nakoľko ide len o skryté vypisovanie formulára, zablokovanie tejto bezpečnostnej chyby by zrejme znamenalo aj pripraviť používateľov o pohodlie pri používaní funkcie AutoFill.

Ako sa proti tejto chybe brániť? Nakoľko rada „vyhýbať sa nebezpečným internetovým stránkam“ zrejme nikomu nepomôže, jedinou skutočnou obranou je vypnutie funkcie AutoFill, a teda pripraviť sa o automatické dopĺňanie údajov aspoň do doby, kedy Apple zverejní nejaké akceptovateľné riešenie. To urobíte otvorením nastavení Safari, zvolením záložky „AutoFill“ a odškrtnutím všetkých troch zobrazených možností. Podrobnejšie informácie nájdete priamo na Grossmanovom blogu.

2

komentáre

to je jedno
27.09.2010 o 08:00

preco „odškrtnutím všetkých troch zobrazených možností“. nemozem nechat aspon tretiu?

zvedavec
29.09.2010 o 09:17

maličká chybička se vloudila :-), od začiatku septembra totiž samotný Apple ponúka aktualizáciu Safari 5.0.2, takže v tomto kontexte sú plátané záplaty na Safari 5.0.1. mierne povedané hodne obsolentné…



MacBlog.sk je elektronické médium a súkromným priestorom, kde vám poskytovateľ
umožňuje odoslať komentár k článku. Váš komentár nemusí byť zaručene uverejnený.

TOPlist