Safari Exploit permite que dados do catálogo de endereços sejam facilmente roubados por meio do preenchimento automático
Se você usa o Safari como seu navegador principal, convém abrir suas preferências, alternar para o Preenchimento automático e desmarcar a opção de preencher automaticamente os formulários da web usando informações do seu cartão da Agenda: uma vulnerabilidade séria no Safari permite que sites roubem informações da sua Agenda sem qualquer entrada do usuário em tudo.
O exploit foi descoberto por Jeremiah Grossman. Funciona assim:
Tudo o que um site malicioso teria que fazer para extrair sub-repticiamente os dados do cartão da Agenda do Safari é dinamicamente criar campos de texto de formulário com os nomes mencionados acima, provavelmente invisíveis, e então simular eventos de pressionamento de tecla A-Z usando JavaScript. Quando os dados são preenchidos, ou seja, preenchidos automaticamente, eles podem ser acessados e enviados ao invasor ...
Conforme mostrado no código de prova de conceito
… Todo o processo leva apenas alguns segundos e representa uma grande violação da privacidade online. Este ataque pode ser ainda mais aproveitado em ataques de vários estágios, incluindo spam de e-mail, (spear) phishing, perseguição e até chantagem se o anonimato de um usuário for anulado ao visitar materiais on-line questionáveis.
Grossman submeteu o exploit à atenção da Apple há mais de um mês, mas decidiu divulgá-lo depois de não receber uma resposta não automatizada sobre o assunto.
Por enquanto, não precisa entrar em pânico, apenas desligue o preenchimento automático até que a Apple resolva o problema.
[através da Culto de Mac]
