Auto-fill-funktionen i Apples Safari-browser, er designet til at gøre det nemmere at udfylde formularer. Ifølge en sikkerhedsekspert kan den imidlertid også bruges af hackere til at høste personlige informationer. Det skriver IDG News Service.
Auto-fill-funktionen i browseren er automatisk slået til og kan udfylde informationer, som for eksempel fornavn, efternavn, by og e-mailadresse, når den genkender en formular.
Funktionen kommer også med forslag til data i en formular, selvom brugeren ikke har indtastet noget. Informationerne kommer fra Safaris lokale styresystems adressebog.
Nemt at skaffe personlige data
Denne funktion åbner en mulighed for hackere, skriver Jeremiah Grossman, der er teknologi-direktør i WhiteHat-Security på sin blog.
"Alt, som et ondsindet websted skal gøre for at trække data ud fra adresse-bogen i Safari, er at skabe formular-tekstfelter, formentlig usynligt, og derefter simulere AZ tastetryk begivenheder ved hjælp af JavaScript. Derefter kan dataene tilgås og sendes til en hacker," skriver han på sin blog.
Kode, der viser, at angrebet kan lade sig gøre i praksis, er blevet fremvist på direktør for SecTheory, Robert Hansens blog. Jeremiah Grossman har på sin blog også postet en video af angrebet.
Jeremiah Grossman understreger samtidigt, at hackere på en nem måde vil kunne høste disse data i stor stil, og endda uden at nogen opdager det.
Udnyttes måske allerede
"Der er ingen garanti for, at dette ikke allerede har fundet sted. Denne sårbarhed er så helt vildt simpel, at jeg troede, at nogle andre måtte have indberettet det allerede, men søgninger og snak med kollegerne viste, at ingen kendte til problemet," skriver Jeremiah Grossman.
Jeremiah Grossman har indberettet problemet til Apple den 17. juli, men han har endnu ikke modtaget et personligt svar.
Derfor foreslår Jeremiah Grossman, at den simple løsning for brugere, der vil undgå, at hackere kan opfange deres personlige data, simpelthen er at slå Auto-fill-funktionen fra.
