0:05
Főoldal | Rénhírek

Egy böngésző, ami önként kiadja adatainkat

Az Apple böngészője, a Safari szinte automatikusan adja ki adatainkat, még ha sosem adtuk meg adatainkat egyetlen weboldalon sem.

IT café, Dajkó Pál | 2010. július 23.

Jeremiah Grossman, a WhiteHat Security vezetője (aki a holnap kezdődő Black Hat konferencián súlyos böngészős sebezhetőségekről fog előadni) újra felhívta magára a figyelmet, amikor blogjában egy olyan, a Safarit illető sérülékenységre mutatott rá, mely még a szakembereket is meglepte súlyosságával.

Grossman állítása szerint ha egy Safari-felhasználó meglátogat egy fertőzött weboldalt, ahol még sosem járt, akkor nagy esélye van arra, hogy megszerzik a személyes adatait: név, munkahely, lakhely, e-mail. Ez önmagában nem lenne újdonság, ám Grossman szerint az a döbbenetes, hogy ezeket az információkat a malware akkor is megszerzi, ha az illető soha nem adta meg adatait egyetlen weboldalon sem, ugyanis a Safariban alapértelmezésben bekapcsolt automatikus kiegészítés funkciót használhatják ki az adatlopásra: ahogy a szakértő illusztrálta is, nagyon könnyű olyan kódot írni, ami néhány másodperc alatt megszerzi a gépen megadott személyes adatokat. A hiba oka, hogy – más böngészőktől eltérően – a Safari programkódja lehetővé teszi, hogy az operációs rendszer címtárában tárolt adatokat a böngésző felajánlja akkor is, ha a felhasználó nem használta még ezt a szolgáltatást – egyszerűbben: egy konkurens böngészőben az adatlapok kitöltésénél a program csak azokat kínálja fel, amiket már egyszer beírtunk (már ha engedélyeztük ezt a funkciót), ám a Safari nem ezt teszi, hanem alapból rákeres a gépen található adatokra, és mindenképp kínálja azokat. A támadónak csak  egy egyszerű alkalmazást kell írnia, hogy ezeket megkapja a felhasználó közreműködése nélkül.

Az óriási biztonsági kockázat mindebben az, hogy ha a felhasználó egy adathalász kóddal fertőzött weboldalra lép be, a crackernek még azt sem kell megtennie, hogy valamilyen módon rávegye az illetőt adatai begépelésére, mivel a böngészőn keresztül gyorsan, gond nélkül megszerezheti ezeket, hogy felhasználja őket. Grossman elmondja, hogy már évekkel ezelőtt figyelmeztette a céget erre a hibára, ám érdemi választ azóta sem kapott.

A botrányoktól megtépázott Apple-nek valószínűleg nem jön jól ez a kutatás, mint ahogy az sem, hogy a Secunia biztonságtechnikai cég szerint a nagy IT-cégek közül az ő termékeik számítanak a leginkább sebezhetőnek.

Hasonló tartalmak:

Hozzászólások:

Követem a cikkhozzászólásokat (RSS)
Még nincs hozzászólás, legyen Ön az első!