Safari Exploit permet aux données du carnet d'adresses d'être facilement volées via le remplissage automatique
Si vous utilisez Safari comme navigateur Web principal, vous souhaiterez peut-être ouvrir vos préférences, basculer sur Remplissage automatique et décocher l'option de remplissage automatique des formulaires Web à l'aide de informations de votre carte de carnet d'adresses: une vulnérabilité sérieuse dans Safari permet aux sites Web de voler des informations de votre carnet d'adresses sans aucune intervention de l'utilisateur à tous.
L'exploit a été découvert par Jérémie Grossman. Voilà comment cela fonctionne:
Tout ce qu'un site Web malveillant aurait à faire pour extraire subrepticement les données de la carte du carnet d'adresses de Safari est dynamiquement créer des champs de texte de formulaire avec les noms susmentionnés, probablement de manière invisible, puis simuler des événements de frappe A-Z en utilisant JavaScript. Lorsque les données sont remplies, c'est-à-dire remplies automatiquement, elles peuvent être consultées et envoyées à l'attaquant…
Comme le montre le code de preuve de concept… l'ensemble du processus ne prend que quelques secondes et représente une brèche majeure dans la confidentialité en ligne. Cette attaque pourrait être davantage exploitée dans des attaques en plusieurs étapes, notamment le spam par courrier électronique, le phishing (spear), le harcèlement criminel et même le chantage si un utilisateur est désanonymisé lorsqu'il visite du matériel en ligne répréhensible.
Grossman a soumis l'exploit à l'attention d'Apple il y a plus d'un mois, mais a décidé de le rendre public après n'avoir pas reçu de réponse non automatisée à ce sujet.
Pour l'instant, pas besoin de paniquer, il suffit de désactiver le remplissage automatique jusqu'à ce qu'Apple trouve un correctif.
[passant par Culte de Mac]
