Mellékleteink: HUP | Gamekapocs
Keres

Védtelenül tárol jelszavakat a Safari

Hlács Ferenc, 2013. december 21. 10:59
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Komoly biztonsági hibát fedeztek fel a Safari böngészőben a Kaspersky Lab kutatói. A szoftver OS X-es változata titkosítatlan formában tárolja a korábbi munkamenetre vonatkozó információkat, beleértve az érzékeny bejelentkezési adatokat, azaz felhasználóneveket és jelszavakat is. A szakértők szerint a sebezhetőséget kiberbűnözők egyszerűen kihasználhatják.

hirdetés

Biztonsági hibát találtak a Safari böngésző OS X-re készült változatában a Kaspersky Lab szakértői. A Safari sok más webböngészőhöz hasonlóan tárolja a korábbi munkamenet eseményeit, így szükség esetén azt egyszerűen vissza is tudja állítani, minden megnyitott oldallal együtt. Ez azokon az oldlakon is működik, ahol a belépéshez szükséges felhasználói azonosító, illetve jelszó szükséges. A megoldás bár kényelmes, jelen esetben komoly biztonsági kockázatot jelent.

Az ilyen felületekhez szükséges azonosítókat ugyanis tárolni kell valahol, lehetőleg biztonságos helyen, amelyhez nem férhet hozzá akárki - és az sem árt, ha az információ titkosított. A Safari esetében sajnos egyik sem áll fent, az adatokat a böngésző egy egyszerű plist fájlban őrzi, amelyet bárki megnyithat, és egyszerűen megtalálhatja benne az adott felhasználó belépési adatait. A fájlban a teljes munkamenet mentve van, tekintet nélkül arra, hogy a megtekintett oldalak igényeltek-e külön belépést - még akkor is ha a felhasználó a böngészés során https-t használt. Maga a plist fájl, amelyből kiolvashatók a felhasználónevek és jelszavak (amelyeket semmilyen titkosítás nem véd) egy rejtett könyvtárban található, ám aki tudja, hol keresse, mindenféle akadály nélkül hozzáférhet.

A böngészőben a korábbi munkamenetet az “History” fület megnyitva, a “Reopen All Windows from Last Session” funkcióval tudjuk visszaállítani, ezzel újra megnyílnak az előzőleg bezárt ablakok - a LastSession.plist fájl adatai alapján. A szakértők szerint komoly biztonsági kockázatot jelent, hogy a rendszer a bizalmas információkat titkosítatlan, egyszerűen hozzáférhető formában tárolja, ezzel könnyű prédát jelentve a kiberbűnözőknek. Ha egy támadó valamilyen módszerrel hozzáférést szerez a géphez, a plist állományból az adott felhasználóhoz tartozó azonosítókat és jelszavakat szerezhet meg, ezzel pedig online fiókok tartalmához is hozzáférhet például.

A hiba szerencsére csak adott OS X és Safari verziókat érint (OSX10.8.5 és Safari 6.0.5 (8536.30.1), valamint OS X 10.7.5, illetve Safari 6.0.5 (7536.30.1)), a böngésző 6.1-es változatában már nincs jelen. A Kaspersky értesítette az Apple-t a sebezhetőségről, azt azonban egyelőre nem tudni, vannak-e olyan kártékony programok, amelyek a védtelen plist fájlokra vadászva gyűjtik a felhasználók Facebook, Twitter vagy akár online bankszámlához szükséges belépési adatait.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Június 4-én alapoktól induló, 30 órás online Java back-end fejlesztői, június 5-én pedig Microsoft Azure képzést indít a HWSW!