Safari Exploit позволяет легко украсть данные адресной книги с помощью автозаполнения
Если вы используете Safari в качестве основного веб-браузера, вы можете открыть свои настройки, переключиться на Автозаполнение и снять отметку с опции автозаполнения веб-форм с помощью информация из вашей адресной книги: серьезная уязвимость в Safari позволяет веб-сайтам красть информацию из вашей адресной книги без какого-либо вмешательства пользователя на все.
Эксплойт был обнаружен Иеремия Гроссман. Вот как это работает:
Все, что нужно сделать вредоносному веб-сайту, чтобы тайно извлечь данные карты адресной книги из Safari, - это динамически. создать текстовые поля формы с вышеупомянутыми именами, возможно, невидимо, а затем имитировать события нажатия клавиш A-Z, используя JavaScript. Когда данные заполнены, то есть автозаполнены, к ним можно получить доступ и отправить злоумышленнику ...
Как показано в код подтверждения концепции… Весь процесс занимает считанные секунды и представляет собой серьезное нарушение конфиденциальности в сети. Эта атака может быть использована в многоэтапных атаках, включая спам по электронной почте, (целевой) фишинг и т. Д. преследование и даже шантаж, если пользователь деанонимизируется при просмотре нежелательных онлайн-материалов.
Гроссман представил эксплойт вниманию Apple более месяца назад, но решил опубликовать его после того, как не получил неавтоматический ответ по этому поводу.
На данный момент не нужно паниковать, просто отключите автозаполнение, пока Apple не исправит ошибку.
[с помощью Культ Mac]