Safari Exploit Tillåter att adressbokdata enkelt stjäls genom autofyllning
Om du använder Safari som din huvudsakliga webbläsare kanske du vill öppna dina inställningar, växla till Autofyll och avmarkera alternativet att autofylla webbformulär med information från ditt adressbokskort: en allvarlig sårbarhet i Safari gör att webbplatser kan stjäla information från din adressbok utan någon användarinmatning på Allt.
Utnyttjandet upptäcktes av Jeremiah Grossman. Så här fungerar det:
Allt en skadlig webbplats skulle behöva göra för att smygande extrahera adressbokskortsdata från Safari är dynamiskt skapa formulärtextfält med ovannämnda namn, troligen osynligt, och sedan simulera AZ-tangenttryckningar med JavaScript. När data fylls i, det vill säga AutoFyll’ed, kan den nås och skickas till angriparen ...
Som visas i proof-of-concept-kod... hela processen tar bara några sekunder och utgör ett stort intrång i integriteten online. Denna attack kan utnyttjas ytterligare i flerstegsattacker inklusive e -post spam, (spjut) nätfiske, stalking, och till och med utpressning om en användare de-anonymiseras när han besöker kränkande onlinematerial.
Grossman lämnade Apples uppmärksamhet för Apple för över en månad sedan, men bestämde sig för att publicera det efter att inte ha fått ett icke-automatiserat svar om frågan.
För tillfället behöver du inte få panik, bara stäng av autofyllningen tills Apple löser det.
[via Cult of Mac]