NYSTV - The Wizards of Old and the Great White Brotherhood (Brotherhood of the Snake) - Multi Lang
Eine Funktion in Apples Safari-Browser, die das Ausfüllen von Formularen erleichtert, könnte laut einem Sicherheitsforscher von Hackern dazu missbraucht werden, persönliche Informationen zu sammeln.
Safari's AutoFill-Funktion ist standardmäßig aktiviert und füllt Informationen aus wie Vorname und Nachname, Arbeitsplatz, Stadt, Staat und E-Mail-Adresse, wenn es ein Formular erkennt, schrieb Jeremiah Grossman, CTO für WhiteHat Security, in seinem Blog. Die Informationen stammen aus dem lokalen Betriebssystem-Adressbuch von Safari.
Die Funktion speichert die Daten in das Formular, selbst wenn eine Person keine Daten auf einer bestimmten Website eingegeben hat, was für einen Hacker eine Chance eröffnet.
[Weiter Lesen: So entfernen Sie Malware von Ihrem Windows-PC]"Eine bösartige Website, die Adresskartendaten aus Safari heimlich extrahieren müsste, erstellt dynamisch Textformularfelder mit den genannten Namen, wahrscheinlich unsichtbar, und simuliert anschließend AZ Keystroke-Ereignisse mit JavaScript ", schrieb Grossman. "Wenn Daten gefüllt sind, also AutoFill, kann auf sie zugegriffen werden und sie werden an den Angreifer gesendet."
Der Code des Proof-of-Concept für einen Angriff wurde im Blog von Robert Hansen, CEO von SecTheory, veröffentlicht hat auch ein Video des Angriffs in seinem Blog geposted.
Aus irgendeinem Grund werden Daten, die mit Zahlen beginnen, keine Textfelder füllen und können nicht erhalten werden. "Solche Angriffe könnten jedoch leicht und billig auf einer Massenskala verteilt werden ein Werbenetzwerk zu verwenden, wo wahrscheinlich niemand es bemerken würde, weil es kein Exploit-Code ist, der Rootkit-Payloads liefern könnte ", schrieb Grossman.
" Tatsächlich gibt es keine Garantie, dass dies nicht bereits erfolgt ist ", schrieb er Es ist sicher zu sagen, dass diese Schwachstelle so hirntot einfach ist, dass ich angenommen habe, dass jemand anderes es bereits öffentlich gemeldet hat, aber erschöpfende Suchen und Fragen an mehrere Kollegen ergaben nichts. "
Grossman berichtete das Problem am 17. Juni an Apple, aber er hat noch keine personalisierte Antwort erhalten.
Um das zu vermeiden ist es Die Benutzer können die AutoFill-Webformulare einfach deaktivieren, schrieb er.
Senden Sie News-Tipps und Kommentare an [email protected]
Forscher: Chrome, Safari Password Manager benötigt Arbeit
Ein Sicherheitsforscher berichtet, dass Google Chrome und Apples Safari-Browser die unsichersten Browser-Passwort-Manager haben.
Forscher findet möglichen Bug in Apples IPhone
Angreifer würde zuerst ein funktionierendes Exploit benötigen, könnte dann aber remote Textnachrichten und andere Daten lesen
Datenschutzgruppe: Google teilt zu viele persönliche Informationen mit Entwicklern
Die US Federal Trade Commission und das California Office of the Attorney General sollten dies untersuchen Google Wallet-Service für die Weitergabe persönlicher Informationen von App-Käufern an App-Entwickler, teilte eine Datenschutzgruppe mit.