Safari Exploit을 사용하면 자동 완성을 통해 주소록 데이터를 쉽게 훔칠 수 있습니다.
Safari를 기본 웹 브라우저로 사용하는 경우 기본 설정을 열고 자동 완성으로 전환한 다음 다음을 사용하여 웹 양식을 자동 완성하는 옵션의 선택을 취소할 수 있습니다. 주소록 카드의 정보: Safari의 심각한 취약점을 통해 웹사이트에서 사용자 입력 없이 주소록에서 정보를 훔칠 수 있습니다. 모두.
익스플로잇을 발견한 사람 예레미야 그로스만. 작동 방식은 다음과 같습니다.
Safari에서 은밀하게 주소록 카드 데이터를 추출하기 위해 모든 악의적인 웹 사이트가 수행해야 하는 작업은 동적으로 앞서 언급한 이름으로 양식 텍스트 필드를 생성한 다음, 아마도 눈에 보이지 않게 다음을 사용하여 A-Z 키 입력 이벤트를 시뮬레이션합니다. 자바스크립트. 데이터가 채워지면 AutoFill'되어 액세스하여 공격자에게 보낼 수 있습니다.
에 나타난 바와 같이 개념 증명 코드… 전체 프로세스는 단 몇 초 밖에 걸리지 않으며 온라인 개인 정보 보호에 대한 중대한 위반을 나타냅니다. 이 공격은 이메일 스팸, (스피어) 피싱, 스토킹, 심지어 사용자가 불쾌한 온라인 자료를 방문하는 동안 익명화되면 협박까지 합니다.
Grossman은 한 달 전에 Apple에 익스플로잇을 제출했지만 문제에 대한 자동 응답을 받지 못한 후 이를 공개하기로 결정했습니다.
지금은 당황할 필요가 없습니다. Apple이 문제를 해결할 때까지 자동 완성을 끄면 됩니다.
[을 통해 컬트 오브 맥]
