Doplňování formulářů v Safari ohrožuje osobní údaje

V prohlížeči Safari je údajně bezpečnostní chyba v nástroji, který má uživateli usnadnit vyplňování webových formulářů. Zranitelnost by mohla být zneužita pro hromadný sběr osobních údajů.


Funkce AutoFill je ve výchozím nastavení prohlížeče Safari zapnuta/povolena. Jakmile rozpozná webový formulář, který uživatel začne vyplňovat, nástroj do něj automaticky dopisuje zadávané údaje (informace jako křestní jméno, příjmení, zaměstnání, město/stát nebo e-mailovou adresu). Tyto údaje Safari získává z adresáře v lokálním systému.

Jeremiah Grossman, CTO firmy WhiteHat Security, tvrdí, že způsob práce s formuláři je ovšem zranitelný. Uvádí následující scénář: Webová stránka zobrazí neviditelné formuláře a pomocí JavaScriptu začne simulovat stisk různých kláves (třeba od A do Z). Dříve či později funkce AutoFill položku doplní. Pak stačí formulář už jen odeslat. Pro uživatele bude celý postup neviditelný.

Robert Hansen, CEO společnosti SecTheory, již zveřejnil i postup zneužití ve formě kódu proof-of-concept. Je možné, že již probíhají i pokusy o zneužití, a to dokonce i po delší dobu. Konec konců, samotný nápad, jak takto sbírat informace, je přece docela triviální...

Tímto způsobem ovšem nejde získat informace začínající číslicí, protože taková pole funkce AutoFill (kdovíproč) nedoplňuje. Např. čísla platebních karet tedy tímto způsobem ohrožena nejsou.

Společnost Apple se k celé záležitosti zatím nevyjádřila.

 

 











Komentáře