Safari Browser Hack Reveal AutoFill Security Concerns

كشف باحث أمني عن ضعف في متصفح ويب سفاري لشركة أبل والذي يمكن استغلاله من قبل مهاجم لاستخراج معلومات شخصية حساسة. تكون ثغرة Safari أكثر حدة قليلاً ، ولكن المشكلة توضح مخاوف الخصوصية والأمن الأساسية مع الملء التلقائي بشكل عام.

أبلغ Jeremiah Grossman ، مؤسس و CTO لـ WhiteHat Security ، أنه من الممكن أن يقوم المهاجم باستخدام نموذج ويب ضار. التسبب في استخدام Safari لمعلومات تلقائية تلقائية مثل الاسم أو العنوان أو عنوان البريد الإلكتروني من المعلومات المخزنة في Apple Address Book. المشكلة هي وظيفة الخيار لملء النماذج "باستخدام معلومات من بطاقة دفتر العناوين الخاصة بي" ، والتي يتم تحديدها بشكل افتراضي في Safari.

يقترح Grossman أن تؤثر هذه المشكلة على جميع المتصفحات المبنية على محرك WebKit مفتوح المصدر-- بما في ذلك Safari على كل من Mac OS X و iOS ، بالإضافة إلى متصفح Google Chrome. ومع ذلك ، لا يعمل دليل إثبات المفهوم على أحدث إصدار من Chrome ، ويتطلب تدخل المستخدم للعمل على نظام iOS.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الاتجاه الصعودي هو يبدو أن هذا الخلل الأمني ​​يقتصر - أكثر أو أقل - على متصفح الويب Safari الذي يعمل على نظام التشغيل Mac OS X. ولكن ، بما أن نظام Mac OS X لا يشكل سوى خمسة بالمائة من سوق نظام التشغيل ، وليس كل مستخدمي Mac OS X يعتمدون على Safari لتصفح الويب ، يكون للمشكلة تأثير محتمل صغير نسبيًا.

يشير Grossman في مشاركة المدونة على اختراق Safari AutoFill ، والفرق بين إمكانات التدوين الآلي للمتصفحات الأخرى أو أنظمة التشغيل ، وهذه المشكلة بالتحديد أن يتلقى سفاري بيانات حساسة لمهاجم باستخدام موقع ويب ضار "حتى لو لم يكن هناك من قبل أو أدخل أي معلومات شخصية."

حقيقة أن الاختراق Safari يمكن أن يكشف عن معلومات لم تسبق كتابتها في حقل معين يجعلها أكثر جدية ولكن الحقيقة هي أن جميع ميزات "الملء التلقائي" عبر جميع المتصفحات وأنظمة التشغيل تمثل مشكلة تتعلق بالأمان والخصوصية على مستوى ما. ميزة الملء التلقائي هي ميزة تتطلب تبادل بعض الأمان والخصوصية لصالح الراحة.

تم تصميم ميزة AutoFill لجعل الحياة أبسط من خلال تخزين المعلومات بحيث يمكن إدخالها تلقائيًا في المرة القادمة عند الحاجة. تتم مواجهتها بشكل متكرر مع بيانات النموذج حيث يقوم المستخدمون بملء الحقول مثل الاسم والعنوان ورقم الهاتف وعنوان البريد الإلكتروني ، وما إلى ذلك. بمجرد تخزين البيانات في "التدوين الآلي" ، في المرة التالية التي يتم فيها مواجهة حقل نموذج مماثل ، ببساطة ، النقر فوق الحقل سوف تكشف عن قائمة من الإدخالات المخزنة في التدوين الآلي ، أو بداية الكتابة ستقوم بملء الإدخال بمعلومات من الملء التلقائي الذي يطابق ما يتم كتابته.

بطريقة مشابهة لما يستخدمه جروسمان لاستخراج المعلومات باستخدام الاختراق التلقائي لـ Safari يمكن للمهاجم أيضًا استخراج معلومات قام المستخدم بتخزينها في ميزة الملء التلقائي عن طريق إنشاء نموذج ويب ضار يحتوي على حقول مشتركة واختبار كل حرف من الحروف الأبجدية بشكل خفي لمعرفة مدخلات التدوين الآلي الموجودة.

التدوين الآلي قد يكشف أيضًا عن معلومات حساسة في طرق أخرى أيضا. قد تكشف ميزة "الملء التلقائي" بشريط عنوان مستعرض الويب عن عناوين URL التي تمت زيارتها ، وقد تعرض ميزة "الملء التلقائي" في برامج مثل Microsoft Excel البيانات أو المعلومات التي تم إدخالها مسبقًا في حقول أخرى.

لا أقترح أن يتم التخلي عن الجميع التدوين الآلي والعودة إلى كتابة مضللة في نفس المعلومات في كل مرة تنشأ الحاجة. ومع ذلك ، أنا أدافع عن إدراك مسئولي تكنولوجيا المعلومات والمستخدمين بشكل عام أن نفس الميزات التي توفر الراحة للمستخدم تجعل أيضًا أكثر ملاءمة لمهاجم أن يخرق أو يخترق البيانات المخزنة هناك.

يمكنك متابعة توني على صفحة الفيسبوك ، أو الاتصال به عن طريق البريد الإلكتروني على [email protected]. هو أيضًا tweets كـ Tony_BradleyPCW.