Safari -filen avslører bruker -IDene og passordene dine i ren tekst

Tittene bak Kaspersky Labs 'Securelist -blogg har avdekket et påskeegg i Safari, som de hevder viser bruker -ID og passord i ren tekst.

Problemet gjelder Safari som beholder nettleserhistorikken slik den ble brukt i "Åpne alle Windows fra sist Session ”-funksjon - som lar brukerne enkelt besøke nettsteder de åpnet under forrige Safari økter.

Kaspersky har imidlertid funnet ut at dokumentet Safari lager for å gjøre denne restaureringen mulig, gjengir også bruker -ID og passord i ren tekst. Selve filen er skjult, men er ikke vanskelig å finne når du vet hva det er du leter etter.

Og som Kasperskys blogg påpeker:

“Du kan bare forestille deg hva som ville skje hvis nettkriminelle eller et ondsinnet program fikk tilgang til LastSession.plist -fil på et system der brukeren logger på Facebook, Twitter, LinkedIn eller deres online bankkonto.

For oss er det å lagre ukryptert konfidensiell informasjon med ubegrenset tilgang stor sikkerhetsfeil som gir ondsinnede brukere muligheten til å stjele brukerdata med et minimum av innsats."

Det er en god nyhet: Kaspersky sier at problemet bare påvirker OSX10.8.5 som kjører Safari 6.0.5 (8536.30.1) og OSX10.7.5 med Safari 6.0.5 (7536.30.1).

Kaspersky har kontaktet Apple med sine funn.

Kilde: Sikkerhetsliste

Via: Registeret