一名安全研究人员透露,苹果的Safari Web浏览器存在漏洞,可被攻击者利用来提取敏感的个人信息。 Safari的漏洞更严重一些,但是这个问题通常表明了有关自动填充的潜在隐私和安全问题。
Grossman建议此问题会影响构建在开源WebKit引擎上的所有浏览器 - 包括Mac OS X和iOS上的Safari以及Google Chrome浏览器。但是,概念验证不适用于最新版本的Chrome,需要用户在iOS上进行干预。
[更多阅读:如何从Windows PC中删除恶意软件]好处是这个安全缺陷似乎局限于在Mac OS X上运行的Safari Web浏览器。但是,由于Mac OS X仅占操作系统市场的大约百分之五,并非所有的Mac OS X用户都依赖它在Safari上浏览网页时,这个问题的潜在影响相对较小。
Grossman在他的博客文章中指出Safari自动填充攻击,其他浏览器或操作系统的自动填充功能与此特定问题之间的区别在于Safari会将敏感数据交给使用恶意网站的攻击者“,即使他们以前从未去过或者输入过任何个人信息。”
事实上,Safari黑客可以揭示以前没有输入过的信息给定的领域使其成为更严重的问题但是现实情况是,所有浏览器和操作系统上的所有自动填充功能在某种程度上代表了安全和隐私问题。自动填充功能需要交换一些安全性和隐私,以方便使用。
自动填写旨在通过存储信息使生活更简单,以便在下次需要时自动输入信息。在用户填写姓名,地址,电话号码,电子邮件地址等字段时,最常遇到表单数据。一旦数据存储在自动填写中,下次遇到类似的表单字段时,只需单击字段将显示存储在自动填充中的条目列表,或者开始键入将使用来自自动填充的信息填写与输入内容匹配的信息。
以类似于Grossman用于使用Safari自动填充黑客程序提取信息的方式,攻击者还可以通过创建具有公共字段的恶意Web表单并隐式测试字母表中的每个字母来查看自动填充条目的存在情况,从而提取用户在自动填充功能中存储的信息。
自动填充功能还可以将敏感信息其他方式。 Web浏览器地址栏的“自动填充”功能可能会显示已访问过的网址,Microsoft Excel等程序中的“自动填充”功能可能会暴露以前在其他字段中输入的数据或信息。
我并不是建议所有人都放弃自动填写并返回单调乏味地输入相同的信息,每当需要时。然而,我主张IT管理员和用户普遍理解,为用户提供便利的相同功能也使攻击者更容易违反或损害存储在那里的数据。
您可以关注Tony Facebook页面 ,或通过电子邮件 [email protected] 与他联系。他还推出了 @Tony_BradleyPCW 。