ไฟล์ Safari เปิดเผย ID ผู้ใช้และรหัสผ่านของคุณในข้อความธรรมดา

ผู้อยู่เบื้องหลังบล็อก Securelist ของ Kaspersky Labs ได้ค้นพบ Easter Egg ใน Safari ซึ่งพวกเขาอ้างว่าแสดงรายการ ID ผู้ใช้และรหัสผ่านในรูปแบบข้อความธรรมดา

ปัญหาเกี่ยวข้องกับการเก็บรักษาประวัติเบราว์เซอร์ของ Safari ที่ใช้ใน "เปิด Windows ทั้งหมดอีกครั้งจาก Last คุณสมบัติเซสชัน” — ซึ่งช่วยให้ผู้ใช้สามารถเยี่ยมชมไซต์ที่พวกเขาเปิดระหว่าง Safari. ก่อนหน้าได้อย่างง่ายดาย เซสชัน

อย่างไรก็ตาม Kaspersky พบว่าเอกสารที่ Safari สร้างขึ้นเพื่อให้การกู้คืนนี้เป็นไปได้ ยังแสดง ID ผู้ใช้และรหัสผ่านเป็นข้อความธรรมดา ไฟล์นั้นถูกซ่อนอยู่ แต่หาได้ไม่ยากเมื่อคุณรู้ว่าไฟล์นั้นคืออะไรที่คุณกำลังมองหา

และตามที่บล็อกของ Kaspersky ชี้ให้เห็น:

“คุณสามารถจินตนาการได้ว่าจะเกิดอะไรขึ้นหากอาชญากรไซเบอร์หรือโปรแกรมที่เป็นอันตรายเข้าถึง ไฟล์ LastSession.plist บนระบบที่ผู้ใช้เข้าสู่ระบบ Facebook, Twitter, LinkedIn หรือทางออนไลน์ บัญชีธนาคาร.

เท่าที่เรากังวล การจัดเก็บข้อมูลที่เป็นความลับที่ไม่ได้เข้ารหัสด้วยการเข้าถึงที่ไม่จำกัดจะเป็น ข้อบกพร่องด้านความปลอดภัยที่สำคัญที่เปิดโอกาสให้ผู้ใช้ที่เป็นอันตรายสามารถขโมยข้อมูลผู้ใช้ได้อย่างน้อย ความพยายาม."

มีข่าวดีอยู่บ้าง: Kaspersky กล่าวว่าปัญหามีผลกับ OSX10.8.5 ที่รัน Safari 6.0.5 (8536.30.1) และ OSX10.7.5 กับ Safari 6.0.5 (7536.30.1) เท่านั้น

Kaspersky ได้ติดต่อ Apple เพื่อแจ้งข้อค้นพบ

แหล่งที่มา: รายการที่ปลอดภัย

ทาง: การลงทะเบียน