Szerző: Hlács Ferenc

2013. december 21. 10:59

Védtelenül tárol jelszavakat a Safari

Komoly biztonsági hibát fedeztek fel a Safari böngészőben a Kaspersky Lab kutatói. A szoftver OS X-es változata titkosítatlan formában tárolja a korábbi munkamenetre vonatkozó információkat, beleértve az érzékeny bejelentkezési adatokat, azaz felhasználóneveket és jelszavakat is. A szakértők szerint a sebezhetőséget kiberbűnözők egyszerűen kihasználhatják.

Biztonsági hibát találtak a Safari böngésző OS X-re készült változatában a Kaspersky Lab szakértői. A Safari sok más webböngészőhöz hasonlóan tárolja a korábbi munkamenet eseményeit, így szükség esetén azt egyszerűen vissza is tudja állítani, minden megnyitott oldallal együtt. Ez azokon az oldlakon is működik, ahol a belépéshez szükséges felhasználói azonosító, illetve jelszó szükséges. A megoldás bár kényelmes, jelen esetben komoly biztonsági kockázatot jelent.

Az ilyen felületekhez szükséges azonosítókat ugyanis tárolni kell valahol, lehetőleg biztonságos helyen, amelyhez nem férhet hozzá akárki - és az sem árt, ha az információ titkosított. A Safari esetében sajnos egyik sem áll fent, az adatokat a böngésző egy egyszerű plist fájlban őrzi, amelyet bárki megnyithat, és egyszerűen megtalálhatja benne az adott felhasználó belépési adatait. A fájlban a teljes munkamenet mentve van, tekintet nélkül arra, hogy a megtekintett oldalak igényeltek-e külön belépést - még akkor is ha a felhasználó a böngészés során https-t használt. Maga a plist fájl, amelyből kiolvashatók a felhasználónevek és jelszavak (amelyeket semmilyen titkosítás nem véd) egy rejtett könyvtárban található, ám aki tudja, hol keresse, mindenféle akadály nélkül hozzáférhet.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A böngészőben a korábbi munkamenetet az “History” fület megnyitva, a “Reopen All Windows from Last Session” funkcióval tudjuk visszaállítani, ezzel újra megnyílnak az előzőleg bezárt ablakok - a LastSession.plist fájl adatai alapján. A szakértők szerint komoly biztonsági kockázatot jelent, hogy a rendszer a bizalmas információkat titkosítatlan, egyszerűen hozzáférhető formában tárolja, ezzel könnyű prédát jelentve a kiberbűnözőknek. Ha egy támadó valamilyen módszerrel hozzáférést szerez a géphez, a plist állományból az adott felhasználóhoz tartozó azonosítókat és jelszavakat szerezhet meg, ezzel pedig online fiókok tartalmához is hozzáférhet például.

A hiba szerencsére csak adott OS X és Safari verziókat érint (OSX10.8.5 és Safari 6.0.5 (8536.30.1), valamint OS X 10.7.5, illetve Safari 6.0.5 (7536.30.1)), a böngésző 6.1-es változatában már nincs jelen. A Kaspersky értesítette az Apple-t a sebezhetőségről, azt azonban egyelőre nem tudni, vannak-e olyan kártékony programok, amelyek a védtelen plist fájlokra vadászva gyűjtik a felhasználók Facebook, Twitter vagy akár online bankszámlához szükséges belépési adatait.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról