Safari Exploit mahdollistaa osoitekirjan tietojen varastamisen helposti automaattisen täytön avulla
Jos käytät Safaria pääselaimena, voit halutessasi avata asetuksesi, vaihtaa automaattiseen täyttöön ja poistaa valinnan, jos haluat täyttää verkkolomakkeet automaattisesti tiedot osoitekirjakortistasi: Safarin vakava haavoittuvuus mahdollistaa sen, että verkkosivustot voivat varastaa tietoja osoitekirjastasi ilman käyttäjän syöttöä osoitteessa kaikki.
Hyödyntäjä löysi Jeremiah Grossman. Näin se toimii:
Kaikki haitalliset verkkosivustot joutuvat salaa saamaan osoitekirjakorttitiedot salaa Safarista salaa dynaamisesti luo lomakkeen tekstikenttiä edellä mainituilla nimillä, luultavasti näkymättömästi, ja simuloi sitten A-Z-näppäintapahtumia JavaScript. Kun tiedot täytetään, eli automaattinen täyttö, niitä voidaan käyttää ja lähettää hyökkääjälle…
Kuten on esitetty konseptitodistuskoodi… Koko prosessi kestää vain sekunteja ja on merkittävä rikkomus online -yksityisyydessä. Tätä hyökkäystä voidaan hyödyntää monivaiheisissa hyökkäyksissä, mukaan lukien sähköpostin roskapostia, (keihäs) tietojenkalastelua, vainoaminen ja jopa kiristys, jos käyttäjä poistetaan nimettömyydestä vieraillessaan kielteisessä verkkomateriaalissa.
Grossman esitti hyväksikäytön Applen tietoon yli kuukausi sitten, mutta päätti julkistaa sen, kun se ei saanut automaattista vastausta asiaan.
Toistaiseksi sinun ei tarvitse panikoida, sammuta automaattinen täyttö, kunnes Apple korjaa ongelman.
[kautta Macin kultti]
