Safari Exploit umożliwia łatwe wykradanie danych z książki adresowej poprzez autouzupełnianie
Jeśli używasz Safari jako głównej przeglądarki internetowej, możesz otworzyć swoje preferencje, przełączyć się na autouzupełnianie i odznaczyć opcję autouzupełniania formularzy internetowych za pomocą informacje z Twojej karty Książki adresowej: poważna luka w Safari umożliwia stronom internetowym wykradanie informacji z Twojej Książki adresowej bez udziału użytkownika w wszystko.
Exploit został odkryty przez Jeremiasz Grossman. Oto jak to działa:
Wszystko, co musiałaby zrobić złośliwa witryna, aby potajemnie wyodrębnić dane karty książki adresowej z Safari, jest dynamiczne utwórz pola tekstowe formularzy z wyżej wymienionymi nazwami, prawdopodobnie niewidocznie, a następnie zasymuluj zdarzenia naciśnięć klawiszy od A do Z za pomocą JavaScript. Gdy dane są wypełnione, czyli automatycznie wypełniane, można uzyskać do nich dostęp i wysłać je atakującemu…
Jak pokazano w kod weryfikacji koncepcji… cały proces trwa zaledwie kilka sekund i stanowi poważne naruszenie prywatności w Internecie. Ten atak może być dalej wykorzystany w wieloetapowych atakach, w tym spamie e-mail, (spear) phishingu, prześladowanie, a nawet szantażowanie, jeśli użytkownik zostanie pozbawiony anonimowości podczas przeglądania budzących zastrzeżenia materiałów online.
Grossman zgłosił exploita do Apple’a ponad miesiąc temu, ale zdecydował się go opublikować po tym, jak nie otrzymał niezautomatyzowanej odpowiedzi w tej sprawie.
Na razie nie musisz panikować, po prostu wyłącz autouzupełnianie, dopóki Apple nie opracuje rozwiązania.
[przez Kult Maca]