bahagi ng pananaliksik
Ang isang tampok sa Safari browser ng Apple na idinisenyo upang gawing mas madali upang punan ang mga form ay maaaring sa pamamagitan ng inabuso ng mga hacker upang anihin ang personal na impormasyon, ayon sa isang tagapagpananaliksik ng seguridad.
Pinagana ang tampok na AutoFill ng Safari sa pamamagitan ng default at punan ang impormasyon tulad ng una at huling pangalan, lugar ng trabaho, lungsod, estado, at e-mail address kapag kinikilala nito ang isang form, isinulat ni Jeremiah Grossman, CTO para sa WhiteHat Security, sa kanyang blog. Ang impormasyon ay mula sa lokal na operating system ng address ng Safari.
Ang tampok ay bumubuhos ng data sa form kahit na ang isang tao ay hindi pumasok ng data sa isang partikular na Web site, na nagbukas ng pagkakataon para sa isang hacker. pagbabasa: Paano mag-alis ng malware mula sa iyong Windows PC
"Ang lahat ng isang nakakahamak na website ay kailangang gawin upang i-extract nang malinaw ang data ng Address Book card mula sa Safari ay lumikha ng mga patlang ng form ng teksto na may mga nabanggit na mga pangalan, marahil invisibly, at pagkatapos ay gayahin ang AZ mga keystroke na pangyayari gamit ang JavaScript, "isinulat ni Grossman. "Kapag ang data ay naninirahan, iyon ay AutoFill'ed, maaari itong ma-access at ipadala sa magsasalakay."Ang code ng katunayan ng konsepto para sa isang pag-atake ay na-publish sa blog ni Robert Hansen, CEO ng SecTheory. Nag-post din ng video ng pag-atake sa kanyang blog.
Para sa ilang kadahilanan, ang data na nagsisimula sa mga numero ay hindi papapasukin ang mga patlang ng teksto at hindi makuha. "Gayunpaman, ang ganitong mga pag-atake ay maaaring madali at mura na ipinamamahagi sa isang mass scale gamit ang isang network ng advertising kung saan malamang walang makakapansin dahil hindi ito nagsasamantalang code na dinisenyo upang maghatid ng rootkit na kargamento, "Grossman wrote.
" Sa katunayan, walang garantiya na ito ay hindi pa naganap, "siya wrote. ay ligtas na sabihin na ang kahinaan na ito ay napaka-simple na utak na patay na ako assumed ibang tao ay dapat na may publiko na iniulat na ito, ngunit malawakan paghahanap at humihingi ng ilang mga kasamahan ay wala ng wala. "
Grossman iniulat ang problema sa Apple sa Hunyo 17, ngunit hindi pa siya makatanggap ng isinapersonal na tugon.
Upang maiwasan ito ay sue, maaari lamang i-disable ng mga user ang mga form ng AutoFill Web, sumulat siya.
Magpadala ng mga tip sa balita at komento sa [email protected]
Ang FTC, sa isang liham na ipinadala nang mas maaga sa buwang ito, ay iminungkahi din na ang mga may-ari ng XY Magazine at XY.com ay lumalabag sa mga pamantayan sa pagkapribado na ang kumpanya ay nasa lugar bago shutting down kung ginamit nila ang personal na impormasyon ng mga subscriber sa isang muling ilabas ng magasin o Web site. Ang personal na impormasyon ay nakalista bilang bahagi ng estate ng may utang sa isang bangkarota ng New Jersey na nagpapatuloy para sa Peter Ian Cummings, editor a
Ang form ng subscription ng XY Magazine ay nagsabi na "hindi kailanman nagbebenta ng listahan nito sa kahit sino." Sinabi sa XY.com ang mga prospective na mga tagasuskribi na ipapadala ang kanilang mga magasin sa naka-wrap na itim na plastik upang ang mga magulang ng mga tagasuskribi ay hindi maaaring sabihin kung ano ang kanilang nakukuha.
Mga Pananaliksik sa Pananaliksik na Kinakailangan na Gumawa ng Space Elevator isang Reality
Mga taong mahilig sa space elevator talakayin ang maraming mga hamon na kinakaharap nila sa isang taunang kumperensya
Paghahanap sa Akademikong Microsoft: Maghanap ng impormasyon tungkol sa akademikong pananaliksik at mga mananaliksik
Akademikong Paghahanap ay isang libreng engine na binuo ng Microsoft Research Asia Maghanap ng impormasyon tungkol sa mga mananaliksik sa akademiko at sa kanilang mga aktibidad.
