一个突出的安全研究人员敦促苹果公司的Safari浏览器用户立即关闭自动填充功能来阻止黑客窃取敏感信息。
据耶利米格罗斯曼,WhiteHat Security Web窗体功能的创始人和总监称黑客可以从“自动填充技术”窃取计算机的地址簿中的数据。
“就在目前的Safari用户访问一个网站,即使他们从未去过之前或输入任何个人信息,恶意网站可以发现他们的名字,姓氏,工作场所,城市,州和电子邮件地址, “格罗斯曼在博客解释。
格罗斯曼,Web应用程序安全专家表示,自动填充功能(通过全面修补Safari的默认启用)就会从该用户的操作系统在本地地址簿中的个人记录数据。
所有的恶意网站会做暗中从Safari地址簿中提取数据卡是动态创建的形式与上述名称的文本字段,可能看不见,排序,然后使用JavaScript模拟击键事件。当数据被填充,即AutoFill'ed,它可以被访问和发送给攻击者。
他说:“重要的是要强调此功能的作品,即使用户没有任何网站上输入这些数据。同时这种行为不应该混淆正常自动完成数据的Web浏览器可能还记得后成一种类型的,“格罗斯曼说。
格罗斯曼,将讨论谁在今年的Black Hat会议这一弱点/攻击的情况下,整个过程需时说,几秒钟和“代表在线隐私重要突破口。”
这种攻击可以进一步在多级攻击,包括垃圾邮件杠杆,(矛)钓鱼,跟踪,甚至敲诈勒索如果用户取消匿名访问,而反对的在线材料。
格罗斯曼说,他向苹果报告了两次,但是都是电子邮件自动回复了,从未有过认真的回复。