Vilhelmina
11 °C
16 °C

Súlyos hiba a Safari böngészőben

2010.07.23. 16:09
A Safarinak egy olyan hibáját mutatták ki, amely bizonyos szempontból páratlan a böngészők piacán. Ráadásul egy felmérés szerint is sok a gond az Apple-szoftverekkel.

Jeremiah Grossman, a WhiteHat Security vezetője (aki a szombaton kezdődő Black Hat konferencián súlyos böngészős sebezhetőségekről fog előadni) újra felhívta magára a figyelmet, amikor blogjában egy olyan, a Safarit illető sérülékenységre mutatott rá, mely még a szakembereket is meglepte súlyosságával.

Grossman állítása szerint ha egy Safari-felhasználó meglátogat egy fertőzött weboldalt, ahol még sosem járt, akkor nagy esélye van arra, hogy megszerzik a személyes adatait: név, munkahely, lakhely, email. Ez önmagában nem lenne újdonság, ám Grossman szerint az a döbbenetes, hogy ezeket az információkat a támadó akkor is megszerzi, ha az illető soha nem adta meg adatait egyetlen weboldalon sem.

A Safariban alapértelmezésben bekapcsolt automatikus kiegészítés funkciót használhatják ki az adatlopásra. A szakértő illusztrálta is, hogy nagyon könnyű olyan kódot írni, ami néhány másodperc alatt megszerzi a gépen megadott személyes adatokat. A hiba oka, hogy – más böngészőktől eltérően – a Safari programkódja lehetővé teszi, hogy az operációs rendszer a címtárában tárolt adatokat is felajánlja. Akkor is, ha a felhasználó nem használta még ezt a szolgáltatást.

Egy konkurens böngészőben az adatlapok kitöltésénél a program csak azokat az adatokat kínálja fel, amiket már egyszer beírtunk (már ha engedélyeztük ezt a funkciót), ám a Safari nem ezt teszi, hanem alapból rákeres a gépen található adatokra, és mindenképp kínálja azokat. A támadónak csak egy egyszerű alkalmazást kell írnia, hogy mindent megtudjon a felhasználóról.

Az óriási biztonsági kockázat mindebben az, hogy ha a felhasználó egy adathalász kóddal fertőzött weboldalra lép be, a crackernek még azt sem kell megtennie, hogy valamilyen módon rávegye az illetőt adatai begépelésére, mivel a böngészőn keresztül gyorsan, gond nélkül megszerezheti ezeket, hogy felhasználja őket. Grossman elmondja, hogy már évekkel ezelőtt figyelmeztette a céget erre a hibára, ám érdemi választ azóta sem kapott.

A botrányoktól megtépázott Apple-nek valószínűleg nem jön jól ez a kutatás, mint ahogy az sem, hogy a Secunia biztonságtechnikai cég szerint a nagy IT-cégek közül az ő termékeik számítanak a leginkább sebezhetőnek.

secunia