Plik Safari ujawnia Twoje identyfikatory użytkownika i hasła w postaci zwykłego tekstu
Osoby stojące za blogiem Securelist firmy Kaspersky Labs odkryły jajko wielkanocne w Safari, które, jak twierdzą, zawiera identyfikatory użytkowników i hasła w postaci zwykłego tekstu.
Problem dotyczy zachowania historii przeglądarki przez Safari, jak użyto w „Otwórz ponownie wszystkie okna od ostatniego Sesja” — która umożliwia użytkownikom łatwe ponowne odwiedzanie witryn, które otworzyli podczas poprzedniego Safari sesje.
Jednak firma Kaspersky odkryła, że dokument, który tworzy Safari, aby umożliwić to przywrócenie, renderuje również identyfikatory użytkowników i hasła w postaci zwykłego tekstu. Sam plik jest ukryty, ale nie jest trudno go znaleźć, gdy wiesz, czego szukasz.
I jak wskazuje blog Kaspersky:
„Możesz sobie wyobrazić, co by się stało, gdyby cyberprzestępcy lub złośliwy program uzyskali dostęp do Plik LastSession.plist w systemie, w którym użytkownik loguje się do Facebooka, Twittera, LinkedIn lub ich online konto bankowe.
Jeśli chodzi o nas, przechowywanie niezaszyfrowanych informacji poufnych z nieograniczonym dostępem jest poważna luka w zabezpieczeniach, która daje szkodliwym użytkownikom możliwość kradzieży danych użytkownika przy minimum wysiłek."
Jest jedna dobra wiadomość: Kaspersky twierdzi, że problem dotyczy tylko OSX10.8.5 z Safari 6.0.5 (8536.30.1) i OSX10.7.5 z Safari 6.0.5 (7536.30.1).
Kaspersky skontaktował się z Apple w sprawie swoich ustaleń.
Źródło: Bezpieczna lista
Przez: Rejestr