Súlyos hiba a Safari böngészőben
További Tech cikkek
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
- Azonnal cserélje le, ha ilyen routert használ!
Jeremiah Grossman, a WhiteHat Security vezetője (aki a szombaton kezdődő Black Hat konferencián súlyos böngészős sebezhetőségekről fog előadni) újra felhívta magára a figyelmet, amikor blogjában egy olyan, a Safarit illető sérülékenységre mutatott rá, mely még a szakembereket is meglepte súlyosságával.
Grossman állítása szerint ha egy Safari-felhasználó meglátogat egy fertőzött weboldalt, ahol még sosem járt, akkor nagy esélye van arra, hogy megszerzik a személyes adatait: név, munkahely, lakhely, email. Ez önmagában nem lenne újdonság, ám Grossman szerint az a döbbenetes, hogy ezeket az információkat a támadó akkor is megszerzi, ha az illető soha nem adta meg adatait egyetlen weboldalon sem.
A Safariban alapértelmezésben bekapcsolt automatikus kiegészítés funkciót használhatják ki az adatlopásra. A szakértő illusztrálta is, hogy nagyon könnyű olyan kódot írni, ami néhány másodperc alatt megszerzi a gépen megadott személyes adatokat. A hiba oka, hogy – más böngészőktől eltérően – a Safari programkódja lehetővé teszi, hogy az operációs rendszer a címtárában tárolt adatokat is felajánlja. Akkor is, ha a felhasználó nem használta még ezt a szolgáltatást.
Egy konkurens böngészőben az adatlapok kitöltésénél a program csak azokat az adatokat kínálja fel, amiket már egyszer beírtunk (már ha engedélyeztük ezt a funkciót), ám a Safari nem ezt teszi, hanem alapból rákeres a gépen található adatokra, és mindenképp kínálja azokat. A támadónak csak egy egyszerű alkalmazást kell írnia, hogy mindent megtudjon a felhasználóról.
Az óriási biztonsági kockázat mindebben az, hogy ha a felhasználó egy adathalász kóddal fertőzött weboldalra lép be, a crackernek még azt sem kell megtennie, hogy valamilyen módon rávegye az illetőt adatai begépelésére, mivel a böngészőn keresztül gyorsan, gond nélkül megszerezheti ezeket, hogy felhasználja őket. Grossman elmondja, hogy már évekkel ezelőtt figyelmeztette a céget erre a hibára, ám érdemi választ azóta sem kapott.
A botrányoktól megtépázott Apple-nek valószínűleg nem jön jól ez a kutatás, mint ahogy az sem, hogy a Secunia biztonságtechnikai cég szerint a nagy IT-cégek közül az ő termékeik számítanak a leginkább sebezhetőnek.