Finder Finds Safari Reveals Personal Information

ميزة في متصفح سفاري من Apple مصممة لتسهيل ملء النماذج يمكن أن يسيء استخدامها من قبل المتسللين لحصاد المعلومات الشخصية ، وفقا لباحث أمن.

يتم تمكين ميزة AutoFill من Safari بشكل افتراضي وسوف تملأ المعلومات مثل الاسم الأول والأخير ، ومكان العمل ، والمدينة ، والولاية ، وعنوان البريد الإلكتروني عندما يتعرف على الشكل ، كتب Jeremiah Grossman ، CTO for WhiteHat Security ، على مدونته. تأتي المعلومات من دفتر عناوين نظام التشغيل المحلي الخاص بـ Safari.

تقوم الميزة بتفريغ البيانات في النموذج حتى إذا لم يكن الشخص قد أدخل أية بيانات على موقع ويب معين ، مما يفتح فرصة للهاكر. القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

"يجب على جميع مواقع الويب الضارة أن تقوم على نحو سري لاستخراج بيانات بطاقة دفتر العناوين خلسة من Safari إنشاء حقول نص النموذج بشكل ديناميكي باستخدام الأسماء المذكورة أعلاه ، وربما بخفاء ، ثم محاكاة AZ أحداث ضغط المفاتيح باستخدام جافا سكريبت ، "كتب غروسمان. "عندما يتم نشر البيانات ، وهذا هو" "الملء التلقائي" ، يمكن الوصول إليها وإرسالها إلى المهاجم.

وقد تم نشر رمز إثبات المفهوم للهجوم على مدونة روبرت هانسن ، الرئيس التنفيذي لشركة سيكوريتي. نشر أيضًا مقطع فيديو للهجوم على مدونته

لسبب ما ، لن تبدأ البيانات التي تبدأ بالأرقام بحقول نصية ولا يمكن الحصول عليها. "ومع ذلك ، يمكن توزيع مثل هذه الهجمات بسهولة وبتكلفة منخفضة على نطاق واسع وكتب غروسمان يقول: "في الواقع ، ليس هناك ما يضمن أن هذا لم يحدث بالفعل" ، مستخدمًا شبكة إعلانية لا يُحتمل أن يلاحظها أحد على الإطلاق لأنه لا يستغل رمزًا مُصممًا لتقديم حمولة بيانات rootkit. " من الأسلم أن نقول أن هذه الثغرة الدماغية بسيطة للغاية حتى أني أفترض أن شخصًا آخر يجب أن يكون قد نشرها بشكل علني بالفعل ، ولكن عمليات البحث الشاملة وطرح العديد من الزملاء لم تسفر عن شيء.

أبلغ غروسمان المشكلة إلى Apple في 17 يونيو ، لكنه لم يتلق ردا مخصصا بعد.

لتجنب هذا مقاضاة ، يمكن للمستخدمين ببساطة تعطيل أشكال الملء التلقائي ، كتب.

إرسال تلميحات الأخبار والتعليقات إلى [email protected]