Bezpečnostná chyba v Safari využíva funkciu AutoFill a umožňuje prístup k osobným údajom používateľa

Jeremiah Grossman bol zodpovedný za odhalenie bezpečnostnej chyby v Safari, vďaka ktorej mohli útočníci získať všetky používateľove informácie zadané v Address Booku úplne automaticky prostredníctvom funkcie AutoFill jednoduchým navštívením „nebezpečných“ stránok. Túto chybu napokon vyriešila aktualizácia Safari 5.0.1, no teraz prišiel Grossman s odhalením ďalšej podobnej chyby.

Od predošlej sa líši tým, že od používateľa vyžaduje viac aktivity, konkrétne stlačenie dvoch tlačidiel. Ako ukážku uvádza online hru, ktorá navádza používateľa na stlačenie klávesy „U“ pre jej spustenie a Tabulátora pre zobrazenie ďalších možností. V prípade cieleného vypisovania formulárov by tieto dve klávesy stačili pre automatické doplnenie ostatných informácií funkciou AutoFill. „U“ tu totiž predstavuje začiatok písania krajiny, v tomto prípade US, pričom potrebu stlačenia „U“ napríklad v spomínanej hre rozpoznajú stránky na základe IP adresy návštevníka, slovenských návštevníkov by hra vyzvala k stlačeniu „S“. Tabulátor len prepne používateľa pri vypisovaní formulárov na ďalšie pole, kedy sa už k slovu hlási AutoFill a automaticky doplní všetky známe informácie z Address Booku.

Pre útočníka je teda práca pomerne jednoduchá, horšie to bude mať Apple, ktorý už bol o probléme informovaný. Nakoľko ide len o skryté vypisovanie formulára, zablokovanie tejto bezpečnostnej chyby by zrejme znamenalo aj pripraviť používateľov o pohodlie pri používaní funkcie AutoFill.

Ako sa proti tejto chybe brániť? Nakoľko rada „vyhýbať sa nebezpečným internetovým stránkam“ zrejme nikomu nepomôže, jedinou skutočnou obranou je vypnutie funkcie AutoFill, a teda pripraviť sa o automatické dopĺňanie údajov aspoň do doby, kedy Apple zverejní nejaké akceptovateľné riešenie. To urobíte otvorením nastavení Safari, zvolením záložky „AutoFill“ a odškrtnutím všetkých troch zobrazených možností. Podrobnejšie informácie nájdete priamo na Grossmanovom blogu.