Cómo Eliminar Historial y Datos Privados de Google Chrome y Mozilla Firefox Automáticamente / 2020
Una función en el navegador Safari de Apple, diseñada para facilitar el llenado de formularios, podría ser utilizada por piratas informáticos para recolectar información personal, según un investigador de seguridad.
La función Autocompletar de Safari está habilitada de manera predeterminada y completará la información como nombre y apellido, lugar de trabajo, ciudad, estado y dirección de correo electrónico cuando reconoce un formulario, escribió Jeremiah Grossman, CTO de WhiteHat Security, en su blog. La información proviene de la libreta de direcciones del sistema operativo local de Safari.
La característica vuelca los datos en el formulario incluso si una persona no ingresó datos en un sitio web en particular, lo que abre una oportunidad para un pirata informático.
[Más leyendo: Cómo eliminar el malware de su PC con Windows]"Todo un sitio web malicioso tendría que hacer para extraer subrepticiamente los datos de la libreta de direcciones de Safari dinámicamente crear campos de texto de formulario con los nombres antes mencionados, probablemente invisibles, y luego simular AZ eventos de pulsación de teclas que usan JavaScript ", escribió Grossman. "Cuando se completan los datos, que se rellenan automáticamente, se puede acceder y enviar al atacante."
Se publicó un código de prueba de concepto para un ataque en el blog de Robert Hansen, CEO de SecTheory. Grossman también publicó un video del ataque en su blog.
Por algún motivo, los datos que comienzan con números no llenarán campos de texto y no se pueden obtener ". Aún así, tales ataques podrían distribuirse de manera fácil y económica en una escala masiva. usando una red de publicidad donde probablemente nadie lo notaría porque no es un código de explotación diseñado para entregar la carga útil de rootkit ", escribió Grossman.
" De hecho, no hay garantía de que esto no haya sucedido ", escribió. es seguro decir que esta vulnerabilidad es tan simple que pensé que alguien más debía haberlo informado públicamente, pero las búsquedas exhaustivas y el hecho de preguntar a varios colegas no arrojaron nada ".
Grossman informó del problema a Apple el 17 de junio. pero aún no ha recibido una respuesta personalizada.
Para evitar esto es Por lo tanto, los usuarios pueden simplemente deshabilitar los formularios Web de Autocompletar, escribió.
Enviar sugerencias y comentarios a [email protected]
Investigador: Jobs debe divulgar información de salud a SEC
La SEC debería exigir a las empresas públicas que revelen información sobre la salud de los ejecutivos a la luz de Steve Jobs 'leave.
Investigador encuentra posible error en el iPhone de Apple
El atacante necesitaría primero un exploit activo, pero luego podría leer remotamente mensajes de texto y otros datos
Investigador encuentra vulnerabilidades críticas en el producto antivirus de Sophos
El investigador de seguridad Tavis Ormandy descubrió vulnerabilidades críticas en el producto antivirus desarrollado por la firma de seguridad británica Sophos y asesoró para evitar el uso del producto en sistemas críticos a menos que el proveedor mejore sus prácticas de desarrollo de productos, garantía de calidad y respuesta de seguridad.