Hack Safari Browser revela preocupaciones de seguridad de Autocompletar

Un investigador de seguridad ha revelado una debilidad en el navegador web Safari de Apple que puede ser explotada por un atacante para extraer información personal confidencial. La vulnerabilidad de Safari es un poco más severa, pero el problema ilustra las preocupaciones de privacidad y seguridad subyacentes con AutoFill en general.

Jeremiah Grossman, fundador y CTO de WhiteHat Security, informó que es posible que un atacante use un formulario web malicioso para hacer que Safari Autocompleta información confidencial como el nombre, la dirección o la dirección de correo electrónico de la información almacenada en la libreta de direcciones de Apple. El problema es una función de la opción de completar formularios "Usar información de mi tarjeta de la libreta de direcciones", que está marcada por defecto en Safari.

Grossman sugiere que el problema afecta a todos los navegadores basados ​​en el motor de código abierto WebKit. incluyendo Safari tanto en Mac OS X e iOS, como en el navegador Google Chrome. Sin embargo, la prueba de concepto no funciona en la versión más reciente de Chrome, y requiere la intervención del usuario para funcionar en iOS.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

La ventaja es que este defecto de seguridad parece confinado, más o menos, al navegador web Safari que se ejecuta en Mac OS X. Pero, dado que Mac OS X solo representa el cinco por ciento del mercado del sistema operativo, no todos los usuarios de Mac OS X confían en Safari para navegar por la Web, el problema tiene un impacto potencial relativamente pequeño.

Grossman señala en su blog el Safari AutoFill hack, la diferencia entre las capacidades de Autocompletar de otros navegadores o sistemas operativos, y este problema particular es que Safari entregará datos confidenciales a un atacante que utilice un sitio web malicioso "incluso si nunca antes han estado allí o ingresado información personal".

El hecho de que el hack de Safari pueda revelar información que no se haya escrito previamente en un campo dado lo hace un iss más serio Sin embargo, la realidad es que todas las funciones de Autocompletar en todos los navegadores y sistemas operativos representan un problema de seguridad y privacidad en algún nivel. Autocompletar es una característica que requiere el intercambio de cierta seguridad y privacidad a favor de la conveniencia.

Autocompletar está diseñado para simplificar la vida al almacenar información para que pueda ingresarse automáticamente la próxima vez que sea necesaria. Se encuentra con más frecuencia con los datos del formulario donde los usuarios completan campos como nombre, dirección, número de teléfono, dirección de correo electrónico, etc. Una vez que los datos se almacenan en Autocompletar, la próxima vez que se encuentra un campo similar simplemente haciendo clic en el campo revelará una lista de las entradas almacenadas en Autocompletar, o al comenzar a escribir rellenará la entrada con información de Autocompletar que coincida con lo que se está escribiendo.

De forma similar a lo que Grossman usa para extraer información utilizando el hack Safari AutoFill, un atacante también podría extraer la información que un usuario ha almacenado en la función Autocompletar creando un formulario web malicioso con campos comunes y probando de forma invisible cada letra del alfabeto para ver qué entradas de Autocompletar existen.

Autocompletar también puede revelar información confidencial en otras formas también La función Autocompletar de la barra de direcciones del navegador web puede revelar las URL que se han visitado, y la función Autocompletar en programas como Microsoft Excel podría exponer datos o información que se haya ingresado previamente en otros campos.

No estoy sugiriendo que todos abandonen Autocompletar y volver a escribir tediosamente la misma información cada vez que surja la necesidad. Sin embargo, defiendo que los administradores de TI y los usuarios en general comprendan que las mismas funciones que brindan comodidad al usuario también hacen que sea más conveniente para un atacante infringir o comprometer los datos almacenados allí.

Puede seguir a Tony en su Página de Facebook, o contáctelo por correo electrónico a [email protected]. También twittea como @Tony_BradleyPCW.