Safari -filen avslører bruker -IDene og passordene dine i ren tekst
Tittene bak Kaspersky Labs 'Securelist -blogg har avdekket et påskeegg i Safari, som de hevder viser bruker -ID og passord i ren tekst.
Problemet gjelder Safari som beholder nettleserhistorikken slik den ble brukt i "Åpne alle Windows fra sist Session ”-funksjon - som lar brukerne enkelt besøke nettsteder de åpnet under forrige Safari økter.
Kaspersky har imidlertid funnet ut at dokumentet Safari lager for å gjøre denne restaureringen mulig, gjengir også bruker -ID og passord i ren tekst. Selve filen er skjult, men er ikke vanskelig å finne når du vet hva det er du leter etter.
Og som Kasperskys blogg påpeker:
“Du kan bare forestille deg hva som ville skje hvis nettkriminelle eller et ondsinnet program fikk tilgang til LastSession.plist -fil på et system der brukeren logger på Facebook, Twitter, LinkedIn eller deres online bankkonto.
For oss er det å lagre ukryptert konfidensiell informasjon med ubegrenset tilgang stor sikkerhetsfeil som gir ondsinnede brukere muligheten til å stjele brukerdata med et minimum av innsats."
Det er en god nyhet: Kaspersky sier at problemet bare påvirker OSX10.8.5 som kjører Safari 6.0.5 (8536.30.1) og OSX10.7.5 med Safari 6.0.5 (7536.30.1).
Kaspersky har kontaktet Apple med sine funn.
Kilde: Sikkerhetsliste
Via: Registeret