Védtelenül tárol jelszavakat a Safari
Komoly biztonsági hibát fedeztek fel a Safari böngészőben a Kaspersky Lab kutatói. A szoftver OS X-es változata titkosítatlan formában tárolja a korábbi munkamenetre vonatkozó információkat, beleértve az érzékeny bejelentkezési adatokat, azaz felhasználóneveket és jelszavakat is. A szakértők szerint a sebezhetőséget kiberbűnözők egyszerűen kihasználhatják.
Biztonsági hibát találtak a Safari böngésző OS X-re készült változatában a Kaspersky Lab szakértői. A Safari sok más webböngészőhöz hasonlóan tárolja a korábbi munkamenet eseményeit, így szükség esetén azt egyszerűen vissza is tudja állítani, minden megnyitott oldallal együtt. Ez azokon az oldlakon is működik, ahol a belépéshez szükséges felhasználói azonosító, illetve jelszó szükséges. A megoldás bár kényelmes, jelen esetben komoly biztonsági kockázatot jelent.
Az ilyen felületekhez szükséges azonosítókat ugyanis tárolni kell valahol, lehetőleg biztonságos helyen, amelyhez nem férhet hozzá akárki - és az sem árt, ha az információ titkosított. A Safari esetében sajnos egyik sem áll fent, az adatokat a böngésző egy egyszerű plist fájlban őrzi, amelyet bárki megnyithat, és egyszerűen megtalálhatja benne az adott felhasználó belépési adatait. A fájlban a teljes munkamenet mentve van, tekintet nélkül arra, hogy a megtekintett oldalak igényeltek-e külön belépést - még akkor is ha a felhasználó a böngészés során https-t használt. Maga a plist fájl, amelyből kiolvashatók a felhasználónevek és jelszavak (amelyeket semmilyen titkosítás nem véd) egy rejtett könyvtárban található, ám aki tudja, hol keresse, mindenféle akadály nélkül hozzáférhet.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A böngészőben a korábbi munkamenetet az “History” fület megnyitva, a “Reopen All Windows from Last Session” funkcióval tudjuk visszaállítani, ezzel újra megnyílnak az előzőleg bezárt ablakok - a LastSession.plist fájl adatai alapján. A szakértők szerint komoly biztonsági kockázatot jelent, hogy a rendszer a bizalmas információkat titkosítatlan, egyszerűen hozzáférhető formában tárolja, ezzel könnyű prédát jelentve a kiberbűnözőknek. Ha egy támadó valamilyen módszerrel hozzáférést szerez a géphez, a plist állományból az adott felhasználóhoz tartozó azonosítókat és jelszavakat szerezhet meg, ezzel pedig online fiókok tartalmához is hozzáférhet például.
A hiba szerencsére csak adott OS X és Safari verziókat érint (OSX10.8.5 és Safari 6.0.5 (8536.30.1), valamint OS X 10.7.5, illetve Safari 6.0.5 (7536.30.1)), a böngésző 6.1-es változatában már nincs jelen. A Kaspersky értesítette az Apple-t a sebezhetőségről, azt azonban egyelőre nem tudni, vannak-e olyan kártékony programok, amelyek a védtelen plist fájlokra vadászva gyűjtik a felhasználók Facebook, Twitter vagy akár online bankszámlához szükséges belépési adatait.