Ismét érdemes kikapcsolni a Safari "AutoFill" szolgáltatását

Apple

Július végén volt szó arról, hogy a Safari 4 és 5 AutoFill szolgáltatása nem biztonságos, ugyanis rosszindulatú weboldalak kihasználva annak privacy problémáját képesek lehetnek az áldozat személyes adatainak, például nevének, munkahelyének, lakhelyének, e-mail címének ellopására. Akkor a problémára Jeremiah Grossman hívta fel a figyelmet. Ez volt az a probléma, amelyet az Apple egy nappal azelőtt javított sebtében, hogy azt Grossman bemutatta volna a Blackhat USA konferencián. Úgy fest, hogy a javítás nem sikerült maradéktalanul, mert Grossman egy friss blogbejegyzésben arról ír, hogy a probléma jelenleg is élő.

A blogbejegyzés szerint a támadása nem annyira automatikus mint az első esetben, viszont cserébe gyorsabb és hatékonyabb az adatmegszerzés tekintetében. Grossman leírja blogbejegyzésében, hogy hogyan vette fel a kapcsolatot az Apple-lel annak érdekében, hogy figyelmeztesse, az általa készített Autofill patch nem teljes. Először nem reagáltak, majd többszöri megkeresés után végül elnézést kértek a kommunikációs problémák miatt és biztosították Grossman-t, hogy rajta vannak a problémán.

Ami bonyolítja a probléma orvoslását az, hogy nehezen készíthető megfelelő javítás anélkül, hogy a Safari funkcionalitása ne sérülne bizonyos módon. Ezt pedig az Apple nem szeretné. Grossman-nak nincs ötlete, hogy az Apple hogyan akarja javítani a problémát.

A biztonságtudatos Safari felhasználóknak Grossman azt javasolja, hogy tiltsák le a böngésző AutoFill szolgáltatását.

A részletek - videó demóval - itt.