研究人员发现Safari显示个人信息

根据一位安全研究人员的说法，苹果公司的Safari浏览器中的一项功能可以被黑客滥用以收集个人信息。

Safari的自动填充功能默认为启用，并将填写信息如WhiteHat Security首席技术官Jeremiah Grossman在其博客中写道，如姓名，工作地点，城市，州和电子邮件地址等。这些信息来自Safari的本地操作系统地址簿

即使某人在特定网站上没有输入任何数据，该功能也会将数据转储到表单中，这为黑客带来了机会。阅读：如何从您的Windows PC中删除恶意软件]

“所有恶意网站必须要从Safari中秘密提取地址簿卡数据才能动态创建带有上述名称的表单文本字段，可能无法看到，然后模拟AZ使用JavaScript的按键事件，“格罗斯曼写道。 “当数据填充完成后，这些数据就会自动填充，并且可以被访问并发送给攻击者。'

攻击的概念验证代码已经发布在SecTheory首席执行官Robert Hansen的博客上。也在他的博客上发布了一个攻击视频

出于某种原因，以数字开头的数据不会填充文本字段并且无法获取。“尽管如此，这些攻击可以轻松便宜地大规模分发使用一个广告网络，可能没有人会注意到，因为它不是利用旨在传递rootkit有效载荷的代码，“Grossman写道，”事实上，这还没有发生，“他写道。可以肯定的是，这个漏洞是如此简单，以至于我认为其他人一定已经公开报道过它，但是详尽的搜索和询问几个同事什么都没有发现。“

Grossman在6月17日向Apple报告了这个问题，但他还没有收到个性化的回复。

为了避免这种情况发生，他写道，用户可以简单地禁用自动填写Web表单。

发送新闻提示和评论至[email protected]