У липні експерт із питань безпеки звернув увагу на конкретну вразливість браузера Apple Safari. Помилка, представлена ​​Джеремією Гроссманом, привернула увагу професії, оскільки дала змогу отримати особисті дані користувачів в результаті. Все, що вам потрібно було зробити, - це поговорити про функцію автозаповнення програми, оскільки вона отримувала дані користувача з каталогу Mac OS X і видавала інформацію про користувача веб-сайту, який «спритно запитував», якщо він ніколи раніше не вводився в браузер.

індекс

За день до того, як експерт розкрив вразливість на конференції злому Black Hat, Apple випустила патч для виправлення помилки. Однак Гроссман помітив, що пляма не ідеальна. Він також повідомив про це компанію, але довго не реагував на звіт.

Після встановлення виправлення отримання даних не настільки очевидне, як раніше, але все одно не є складним. Як пише про це Гросман у своєму дописі в блозі: цього разу натискання двох клавіш змусить користувача змусити браузер обмінюватися даними. У сценарії атаки, який він окреслює, веб-сайт перевіряє, наприклад, за IP-адресою, з якої країни походить користувач Інтернету. Далі можна отримати дані, переконавши користувача: натисніть першу літеру назви країни на клавіатурі (наприклад, U для США), а потім натисніть TAB. Останнє потрібно, щоб Safari автоматично заповнював це та інші поля даних одночасно.

Звичайно, поля даних на веб-сайті, що використовуються для крадіжки даних, не будуть видимими (як на відео для демонстраційних цілей), натомість їх замінить зображення гри, яку можна запустити за допомогою ключів, очікуваних зловмисником. І двох натискань клавіш досить, щоб Safari звільнив дані.

За словами Гроссмана, цю вразливість непросто усунути, зберігаючи функцію. «Я не маю уявлення про те, що Apple планує виправити помилку. На щастя, користувачам, що чутливі до безпеки, не потрібна виправлення, щоб захиститися: просто вимкніть автозаповнення. Це настійно рекомендується », - пише експерт.