Watch & See How Hacking Can be Done with Autofill on Safari
Isang security researcher ang nagsiwalat ng isang kahinaan sa Safari Web browser ng Apple na maaaring mapagsamantalahan ng isang magsasalakay upang kunin ang sensitibong personal na impormasyon. Ang kahinaan ng Safari ay isang maliit na mas malubhang, ngunit ang isyu ay nagpapakita ng napapailalim na privacy at seguridad ng mga alalahanin sa AutoFill sa pangkalahatan.
Grossman ay nagpapahiwatig na ang isyu ay nakakaapekto sa lahat ng mga browser na binuo sa open source WebKit engine - kabilang ang Safari sa parehong Mac OS X at iOS, pati na rin ang Google Chrome browser. Gayunman, ang patunay-ng-konsepto ay hindi gumagana sa pinakabagong bersyon ng Chrome, at nangangailangan ng interbensyon ng gumagamit upang gumana sa iOS.
[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]Ang baligtad ay na ang kapansanan sa seguridad na ito ay tila nakakulong - mas marami o mas kaunti - sa Safari Web browser na tumatakbo sa Mac OS X. Ngunit, dahil ang Mac OS X ay binubuo lamang ng limang porsiyento ng merkado ng operating system, at hindi lahat ng mga gumagamit ng Mac OS X ay umaasa sa Safari para sa pag-browse sa Web, ang isyu ay may maliit na potensyal na epekto.
Grossman ay tumutukoy sa kanyang blog post sa Safari AutoFill hack, ang pagkakaiba sa pagitan ng mga kakayahan ng AutoFill ng ibang mga browser o operating system, at ang partikular na isyu na ito ay na ibibigay ng Safari ang sensitibong data sa isang magsasalakay gamit ang isang nakakahamak na Web site na "kahit na hindi pa sila naroon bago o pumasok sa anumang personal na impormasyon."
Ang katotohanan na ang Safari hack ay maaaring ihayag ang impormasyon na hindi pa nai-type sa isang Ang ibinigay na larangan ay ginagawang mas seryoso ue, ngunit ang katotohanan ay na ang lahat ng mga tampok na AutoFill sa lahat ng mga browser at mga operating system ay kumakatawan sa isang pag-aalala sa seguridad at privacy sa ilang antas. Ang AutoFill ay isang tampok na nangangailangan ng pakikipagpalitan ng ilang seguridad at privacy sa pabor ng kaginhawahan.
Ang AutoFill ay dinisenyo upang gawing simple ang buhay sa pamamagitan ng pag-iimbak ng impormasyon upang maaari itong awtomatikong ipasok sa susunod na oras na kinakailangan ito. Ito ay madalas na nakatagpo sa data ng form kung saan pinupunan ng mga gumagamit ang mga patlang tulad ng pangalan, address, numero ng telepono, e-mail address, atbp. Kapag ang data ay naka-imbak sa AutoFill, sa susunod na pagkakataon ang isang katulad na field ng form ay nakatagpo lamang ng pag-click sa field ay magbubunyag ng isang listahan ng mga entry na naka-imbak sa AutoFill, o simula sa pag-type ay punan ang entry na may impormasyon mula sa AutoFill na tumutugma sa kung ano ang nai-type.
Sa katulad na paraan sa kung ano ang Grossman ay gumagamit upang kunin ang impormasyon gamit ang Safari AutoFill hack, maaari ring kunin ng isang magsasalakay ang impormasyon na nakaimbak ng isang user sa tampok na AutoFill sa pamamagitan ng paglikha ng isang nakakahamak na form sa Web na may karaniwang mga patlang at di-nakikita ang pagsusulit sa bawat titik ng alpabeto upang makita kung anong mga entry ng AutoFill ang umiiral.
Ang AutoFill ay maaari ring magbunyag ng sensitibong impormasyon sa iba pang mga paraan din. Ang tampok na AutoFill ng address bar ng Web browser ay maaaring magbunyag ng mga URL na binisita, at ang tampok na AutoFill sa mga programa tulad ng Microsoft Excel ay maaaring maglantad ng data o impormasyon na dati nang naipasok sa ibang mga patlang.
Hindi ko pinapayo na ang lahat ay abandunahin AutoFill at bumalik sa pag-type nang tediously sa parehong impormasyon tuwing kailangan ang arises. Gayunpaman, ako ay nagtataguyod na ang mga tagapamahala ng IT at mga gumagamit sa pangkalahatan ay nauunawaan na ang mga parehong tampok na nagbibigay ng kaginhawahan para sa mga gumagamit ay ginagawang mas madali para sa isang magsasalakay na labagin o ikompromiso ang data na nakaimbak doon.
Maaari mong sundin si Tony sa kanyang Facebook page, o kontakin siya sa pamamagitan ng email sa [email protected]. Nag-tweet din siya bilang @ Tony_BradleyPCW.
Ang Apple ay sumasapot sa ante nito sa digmaan ng browser sa pagitan ng Microsoft, Firefox, at Google sa paglabas ng Safari 4 beta. Ipinahayag ng Apple ang availability ng browser Martes na itinutulak ito bilang pinakamabilis sa mundo - maaring mag-render ng mga pangunahing aplikasyon ng Web tulad ng JavaScript nang higit sa apat na beses na mas mabilis kaysa sa nakaraang browser ng Safari 3.2 ng Apple. Sinabi ng Apple na ang Safari 4 ay 30 beses na mas mabilis kaysa sa IE 7 at halos tatlong bes
Kabilang sa mga paraan ng browser ng Safari 4 ng Apple na naiiba ang sarili nito mula sa mga kakumpitensya nito sa pamamagitan ng pagsasama ng lagda ng Apple Cover Flow na teknolohiya sa isang bagong Buong Tampok ng Paghahanap sa Kasaysayan. Ang tampok na ito ay nagbibigay-daan sa iyo upang repasuhin ang kasaysayan ng Web browser ng browser sa paraang katulad ng pag-browse ng mga kanta / album sa iTunes store at sa iPhone at iPod (tingnan ang larawan sa itaas).
Paano i-off ang autofill sa safari at pros at cons ng autofill
Nag-aalala ka ba tungkol sa iyong personal na data sa Safari narito kung paano mo paganahin o i-off ang autofill upang maprotektahan ito
Paano i-off ang autofill sa chrome at kalamangan at kahinaan ng autofill
Narito kung paano mo mai-off ang autofill sa browser ng Google Chrome at maiwasan ang mga website na kunin ang iyong mga detalye
