Safari-hull rapper kontaktinfoen din

Safari-hull rapper kontaktinfoen din

Autofyll-funksjonen i Safari kan enkelt misbrukes av hackere.

Sikkerhetsforskere har oppdaget en feil i en Safari-funksjon som automatisk kan gi bort personlig informasjon til en ondsinnet nettside.

Safaris autofyll-innstillinger er aktivert som standard for å fylle inn web-skjemaer med ditt navn, e-postadresse, fysisk adresse, telefonnummer, og andre detaljer som du lagrer i din personlige Adressebok-oppføring.

Når du begynner å taste inn de første bokstavene i navnet ditt, vil Safari automatisk fylle inn resten for at skjemaet skal bli ferdig raskere utfylt.

Stjeler visittkortet ditt

Jeremiah Grossman, gründer og administrerende direktør i White Hat Security, avslører nå i et blogginnlegg hvordan en hacker kan utnytte Safaris autofyll-funksjon.

En nettside laget med skumle hensikter kan lage et skript som spoler gjennom tall og bokstaver i hvert tekstfelt til det utløser autofyll-funksjonaliteten i Safari. Skjemaet kan deretter automatisk sendes til hackeren slik at informasjonen kan selges til spammere og så videre.

Funksjonen kan utnyttes selv om en bruker ikke har tastet dataene inn i noe skjema på nettsiden, ifølge Grossman.

Test selv

Grossmans kollega, Robert Hansen, har satt opp en testside som demonstrerer feilen i levende live.

Ifølge Grossman ligger feilen i WebKit, motoren bak Safari på både Mac og iOS-enheter, samt Googles Chrome-nettleser og andre mobile enheter. Testnettsiden ser ikke ut til å fungere i de aller nyeste versjonene av Chrome, muligens fordi Chrome ikke benytter seg av Apples Adressebok som Safari.

I mobilversjonen av Safari må du bevisst trykke på autofyll-knappen.

Slik sikrer du deg

Du kan enkelt beskytte deg mot autofyll-angrepene ved å fjerne haken ved "Med informasjon fra Adressebok-kortet" i Autofyll-fanen under Safari > Valg.

Apple skal ha blitt varslet om sårbarheten den 17. juni, men Jeremiah Grossman har ikke fått noen informasjon om når feilen vil bli fikset. Grossman kan ikke garantere at sårbarheten ikke allerede har blit utnyttet.