Safari Tarayıcı Hack, Otomatik Doldurma Güvenlik Sorunlarını Gösteriyor

Bir güvenlik araştırmacısı, Apple'ın Safari Web tarayıcısında bir saldırganın hassas kişisel bilgileri çıkarması için kullanabileceği bir zayıflık olduğunu ortaya çıkardı. Safari savunmasızlığı biraz daha şiddetlidir, ancak konu genel olarak AutoFill ile ilgili gizlilik ve güvenlik sorunlarını göstermektedir.

WhiteHat Security'nin kurucusu ve CTO'su Jeremiah Grossman, saldırganın kötü amaçlı bir Web formu kullanmasının mümkün olduğunu bildirdi. Safari'nin Apple Adres Defterinde saklanan bilgilerden isim, adres veya e-posta adresi gibi hassas bilgileri Otomatik Doldurmasına neden olmak için. Sorun, varsayılan olarak Safari'de işaretlenen "Adres Defteri kartımdaki bilgileri kullanma" formlarını doldurma seçeneğinin bir işlevidir.

Grossman, sorunun açık kaynaklı WebKit motoru üzerinde oluşturulmuş tüm tarayıcıları etkilediğini öne sürüyor. hem Mac OS X ve iOS hem de Google Chrome tarayıcısında Safari'yi içerir. Bununla birlikte, konsept kanıtı Chrome'un en yeni sürümünde çalışmaz ve iOS'ta kullanıcı müdahalesi gerektirir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bu güvenlik kusurunun, Mac OS X üzerinde çalışan Safari Web tarayıcısına - daha fazla veya daha az - sınırlı olduğu anlaşılıyor. Ancak Mac OS X, işletim sistemi pazarının yalnızca yüzde beşini oluşturduğundan ve tüm Mac OS X kullanıcılarının güvenmediğinden Web'de gezinmek için Safari'de, sorunun nispeten küçük bir potansiyel etkisi var.

Grossman, diğer tarayıcıların veya işletim sistemlerinin Otomatik Doldurma yetenekleri arasındaki fark olan Safari Otomatik Doldurma aracı üzerindeki blog postasına dikkat çekiyor. Safari'nin, daha önce hiç bulunmasalar da veya herhangi bir kişisel bilgi girmemiş olsalar bile, kötü niyetli bir Web sitesi kullanarak bir saldırganı hassas verilere teslim edecekler.

Safari saldırısının daha önce yazılmamış olan bilgileri açığa çıkarabildiği gerçeği. verilen alan daha ciddi bir is yapar Ancak, gerçek şu ki, tüm tarayıcı ve işletim sistemlerinde tüm Otomatik Doldurma özellikleri bir düzeyde güvenlik ve gizlilik endişesini temsil ediyor. Otomatik Doldurma, bazı güvenlik ve gizliliği kolaylık sağlamak amacıyla değiştirmeyi gerektiren bir özelliktir.

Otomatik Doldurma, bilgileri bir dahaki sefere otomatik olarak girilebilmesi için bilgileri depolayarak hayatı kolaylaştırmak için tasarlanmıştır. Kullanıcıların isim, adres, telefon numarası, e-posta adresi vb. Gibi alanları doldurduğu form verileri ile en sık karşılaşılan bir durumdur. Veriler AutoFill'de saklandığında, bir dahaki sefere benzer bir form alanı sadece alanın üzerine tıklandığında karşılaşılır. AutoFill'de saklanan girişlerin bir listesini gösterir veya yazılmaya başlandığında, yazılanla eşleşen AutoFill öğesinden bilgileri girer.

Grossman'ın Safari Otomatik Doldurma aracını kullanarak bilgi almak için kullandığı yönteme benzer şekilde Ayrıca, bir saldırgan, bir kullanıcının Otomatik Doldurma özelliğinde sakladığı bilgileri, ortak alanlara sahip kötü amaçlı bir Web formu oluşturarak ve Otomatik Doldurma girişlerinin nelerin var olduğunu görmek için alfabenin her harfini görünmez biçimde sınayarak bilgileri ayıklayabilmesini sağlayabilir.

Otomatik Doldurma, hassas bilgileri de gösterebilir. başka yollar da var. Web tarayıcısının adres çubuğunun Otomatik Doldur özelliği, ziyaret edilen URL'leri açığa çıkarabilir ve Microsoft Excel gibi programlardaki Otomatik Doldurma özelliği, daha önce başka alanlarda girilmiş olan verileri veya bilgileri gösterebilir.

Herkesin vazgeçmesini öneriyorum Otomatik Doldurma ve ihtiyaç duyulduğunda her zaman aynı bilgileri yazarak sıkıcı bir şekilde geri dönün. Bununla birlikte, IT yöneticilerinin ve kullanıcıların genel olarak kullanıcı için kolaylık sağlayan aynı özelliklerin bir saldırganın orada saklanan verileri ihlal etmesini veya bunlardan taviz vermesini daha kolay hale getirdiğini anladığını savunuyorum.

Tony'nin Facebook sayfası ya da [email protected] adresinden e-posta ile ona ulaşın. Ayrıca @Tony_BradleyPCW olarak tweetler.