Safari Exploit ermöglicht den einfachen Diebstahl von Adressbuchdaten durch Autofill
Wenn Sie Safari als Haupt-Webbrowser verwenden, möchten Sie möglicherweise Ihre Einstellungen öffnen, zu AutoFill wechseln und die Option zum automatischen Ausfüllen von Webformularen mit deaktivieren Informationen von Ihrer Adressbuchkarte: Eine schwerwiegende Sicherheitslücke in Safari ermöglicht es Websites, Informationen aus Ihrem Adressbuch zu stehlen, ohne dass Benutzereingaben an alle.
Der Exploit wurde entdeckt von Jeremiah Grossman. So funktioniert das:
Alles, was eine bösartige Website tun müsste, um heimlich Adressbuchkartendaten aus Safari zu extrahieren, ist dynamisch Erstellen Sie Formulartextfelder mit den oben genannten Namen, wahrscheinlich unsichtbar, und simulieren Sie dann A-Z-Tastendruckereignisse mit JavaScript. Wenn Daten gefüllt, also automatisch ausgefüllt werden, kann auf sie zugegriffen und sie an den Angreifer gesendet werden…
Wie im gezeigt Proof-of-Concept-Code… der gesamte Vorgang dauert nur wenige Sekunden und stellt einen schwerwiegenden Verstoß gegen die Online-Privatsphäre dar. Dieser Angriff könnte in mehrstufigen Angriffen wie E-Mail-Spam, (Spear-)Phishing, Stalking und sogar Erpressung, wenn ein Benutzer beim Besuch von anstößigem Online-Material deanonymisiert wird.
Grossman hat Apple vor über einem Monat auf den Exploit aufmerksam gemacht, aber beschlossen, ihn zu veröffentlichen, nachdem er keine nicht automatisierte Antwort zu dieser Angelegenheit erhalten hatte.
Vorerst kein Grund zur Panik, einfach Autofill ausschalten, bis Apple eine Lösung gefunden hat.
[über Kult des Mac]