一個突出的安全研究人員敦促蘋果公司的Safari瀏覽器用戶立即關(guān)閉自動填充功能來阻止黑客竊取敏感信息。
據(jù)耶利米格羅斯曼,WhiteHat Security Web窗體功能的創(chuàng)始人和總監(jiān)稱黑客可以從“自動填充技術(shù)”竊取計算機的地址簿中的數(shù)據(jù)。
“就在目前的Safari用戶訪問一個網(wǎng)站,即使他們從未去過之前或輸入任何個人信息,惡意網(wǎng)站可以發(fā)現(xiàn)他們的名字,姓氏,工作場所,城市,州和電子郵件地址, “格羅斯曼在博客解釋。
格羅斯曼,Web應(yīng)用程序安全專家表示,自動填充功能(通過全面修補Safari的默認(rèn)啟用)就會從該用戶的操作系統(tǒng)在本地地址簿中的個人記錄數(shù)據(jù)。
所有的惡意網(wǎng)站會做暗中從Safari地址簿中提取數(shù)據(jù)卡是動態(tài)創(chuàng)建的形式與上述名稱的文本字段,可能看不見,排序,然后使用JavaScript模擬擊鍵事件。當(dāng)數(shù)據(jù)被填充,即AutoFill'ed,它可以被訪問和發(fā)送給攻擊者。
他說:“重要的是要強調(diào)此功能的作品,即使用戶沒有任何網(wǎng)站上輸入這些數(shù)據(jù)。同時這種行為不應(yīng)該混淆正常自動完成數(shù)據(jù)的Web瀏覽器可能還記得后成一種類型的,“格羅斯曼說。
格羅斯曼,將討論誰在今年的Black Hat會議這一弱點/攻擊的情況下,整個過程需時說,幾秒鐘和“代表在線隱私重要突破口。”
這種攻擊可以進一步在多級攻擊,包括垃圾郵件杠桿,(矛)釣魚,跟蹤,甚至敲詐勒索如果用戶取消匿名訪問,而反對的在線材料。
格羅斯曼說,他向蘋果報告了兩次,但是都是電子郵件自動回復(fù)了,從未有過認(rèn)真的回復(fù)。