Индекс - Технология - Уязвимост в сигурността в Safari

През юли експерт по сигурността обърна внимание на специфична уязвимост в браузъра Safari на Apple. Грешката, представена от Джеремия Гросман, привлече вниманието на професията, защото направи възможно получаването на лични данни на потребителите в шамар. Всичко, което трябваше да направите, беше да говорите за функцията за автоматично попълване на програмата, тъй като тя извличаше потребителски данни от директорията на Mac OS X и издаваше потребителска информация на уебсайт с „ловко питане“, ако никога преди това не беше въвеждана в браузър.

safari

Един ден преди експертът да разкрие уязвимостта на хакерската конференция Black Hat, Apple пусна кръпка, за да поправи грешката. Гросман обаче забеляза, че петното не е идеално. Той също така уведоми компанията за това, но дълго време не отговори на доклада.

След инсталирането на кръпката получаването на данните не е толкова очевидно, както преди, но все още не е сложно. Както Гросман пише в блога си за това: този път натискането на двата клавиша ще принуди потребителя да накара браузъра да бърка данните. В сценария за атака, който той очертава, уебсайтът проверява, например, по IP адрес, от коя държава идва интернет потребителят. След това данните могат да бъдат извлечени чрез убеждаване на потребителя: натиснете първата буква от името на държавата на клавиатурата (например U за САЩ) и след това натиснете TAB. Последното е необходимо за Safari да попълва автоматично едновременно това и други полета с данни.