Safari-bestand onthult uw gebruikers-ID's en wachtwoorden in platte tekst
De mensen achter de Securelist-blog van Kaspersky Labs hebben een Easter Egg ontdekt in Safari, waarvan ze beweren dat ze gebruikers-ID's en wachtwoorden in platte tekst weergeven.
Het probleem heeft betrekking op het bewaren van de browsergeschiedenis door Safari, zoals gebruikt in de "Heropen alle Windows vanaf het laatst" Sessie”-functie — waarmee gebruikers gemakkelijk sites kunnen bezoeken die ze tijdens vorige Safari hebben geopend sessies.
Kaspersky heeft echter ontdekt dat het document dat Safari maakt om dit herstel mogelijk te maken, ook gebruikers-ID's en wachtwoorden in platte tekst weergeeft. Het bestand zelf is verborgen, maar is niet moeilijk te vinden als u weet waarnaar u op zoek bent.
En zoals de blog van Kaspersky aangeeft:
“Je kunt je voorstellen wat er zou gebeuren als cybercriminelen of een kwaadaardig programma toegang zouden krijgen tot de LastSession.plist-bestand op een systeem waar de gebruiker inlogt op Facebook, Twitter, LinkedIn of hun online bankrekening.
Wat ons betreft is het opslaan van ongecodeerde vertrouwelijke informatie met onbeperkte toegang een grote beveiligingsfout die kwaadwillende gebruikers de mogelijkheid geeft om gebruikersgegevens te stelen met een minimum van poging."
Er is goed nieuws: Kaspersky zegt dat het probleem alleen van invloed is op OSX10.8.5 met Safari 6.0.5 (8536.30.1) en OSX10.7.5 met Safari 6.0.5 (7536.30.1).
Kaspersky heeft contact opgenomen met Apple met haar bevindingen.
Bron: Beveiligde lijst
Via: Het register
