A+ A A-

Эксплоит для Safari

  • Обновлено 01.01.2013 20:15

Опция автозаполнения в браузере Safari от Apple может раскрывать личную информацию информацию без ведома пользователя. Пока не ясно, относится ли это только к браузерам Safari или ко всем браузерам, основанным на движке WebKit, Google Chrome в том числе. Пользователям Safari и Chrome рекомендуется отключить автозаполнение до выяснения подробностей.

Джеремайя Гроссман, главный технический директор фирма WhiteHat Security, в среду представил в своем блоге эксплоит, заявив, что уязвимости подвержены обе версии Safari - 4-я и 5-я. По его словам Гроссмана, этого эксплоита достаточно, чтобы зараженный веб-сайт мог получить информацию из автозаполнения в Safari даже если пользователь не вводит на сайте никакой личной информации, и даже если пользователь ни разу не был на этом сайте ранее.

На вредоносном веб-сайте достаточно создать динамические поля с необходимыми именами, вроде "address" или "credit card", и затем симулировать нажатие клавиш с помощью JavaScript, и затем данные пользователя будут заполнены автоматически. Эта магия сработает, даже если текстовые поля скрыты от посетителя сайта. Гроссман сообщил в Apple о найденной уязвимсти 17-го июня руководствуясь общепринятой практикой среди исследователей безопасности, но получил только автоматически сгенерированный ответ.

К счастью теперь, когда эксплоит Гроссмана пролил свет на возможные риски использования автоматического заполнения, пользователи могут отключить автозаполнение в Safari в настройках браузера, изменив параметры "Автозаполнение" и "Автозаполнение веб-форм". В Chrome можно проделать ту же процедуру, войдя в основное меню, и выбрав последовательно "Параметры", "Личные материалы" и нажав кнопку "Автозаполнение".

Действия эксплоита не распространяется ни на мобильную версию Safari, ни на основанные на движке WebKit браузеры под платформу Android.

Официальная информация от Apple не проясняет деталей. "Мы серьезно относимся к безопасности и личной информации. Мы обеспокоены заявленой проблемой и работаем над ее устранением", сказал представитель Apple.

Google не давала комментариев, но подтвердила, что Chrome не подвержен уязвимости, демонстрируемой представленным эксплоитом, потому что при автозаполнении полей браузер запрашивает у пользователя подтверждение на раскрытие личной информации, ответ на которое не может быть сымитировано на языке JavaScript.

Комментарии