Safari Exploit Memungkinkan Data Buku Alamat Dicuri Dengan Mudah Melalui IsiOtomatis
Jika Anda menggunakan Safari sebagai browser web utama Anda, Anda mungkin ingin membuka preferensi Anda, beralih ke IsiOtomatis dan hapus centang opsi untuk IsiOtomatis formulir web menggunakan info dari kartu Buku Alamat Anda: kerentanan serius di Safari memungkinkan situs web mencuri informasi dari Buku Alamat Anda tanpa masukan pengguna di semua.
Eksploitasi ditemukan oleh Yeremia Grossman. Berikut cara kerjanya:
Semua situs web jahat harus secara diam-diam mengekstrak data kartu Buku Alamat dari Safari secara dinamis buat bidang teks formulir dengan nama yang disebutkan di atas, mungkin tidak terlihat, lalu simulasikan peristiwa penekanan tombol A-Z menggunakan JavaScript. Ketika data diisi, yaitu IsiOtomatis, itu dapat diakses dan dikirim ke penyerang…
Seperti yang ditunjukkan dalam kode bukti konsep… seluruh proses hanya membutuhkan beberapa detik dan merupakan pelanggaran besar dalam privasi online. Serangan ini dapat dimanfaatkan lebih lanjut dalam serangan multitahap termasuk spam email, phishing (tombak), menguntit, dan bahkan memeras jika pengguna tidak disebutkan namanya saat mengunjungi materi online yang tidak pantas.
Grossman mengajukan eksploitasi ke Apple lebih dari sebulan yang lalu, tetapi memutuskan untuk mempublikasikannya setelah gagal menerima tanggapan non-otomatis tentang masalah tersebut.
Untuk saat ini, tidak perlu panik, cukup matikan pengisian otomatis hingga Apple menyelesaikannya.
[melalui Kultus Mac]
