Védtelenül tárol jelszavakat a Safari
Komoly biztonsági hibát fedeztek fel a Safari böngészőben a Kaspersky Lab kutatói. A szoftver OS X-es változata titkosítatlan formában tárolja a korábbi munkamenetre vonatkozó információkat, beleértve az érzékeny bejelentkezési adatokat, azaz felhasználóneveket és jelszavakat is. A szakértők szerint a sebezhetőséget kiberbűnözők egyszerűen kihasználhatják.
Biztonsági hibát találtak a Safari böngésző OS X-re készült változatában a Kaspersky Lab szakértői. A Safari sok más webböngészőhöz hasonlóan tárolja a korábbi munkamenet eseményeit, így szükség esetén azt egyszerűen vissza is tudja állítani, minden megnyitott oldallal együtt. Ez azokon az oldlakon is működik, ahol a belépéshez szükséges felhasználói azonosító, illetve jelszó szükséges. A megoldás bár kényelmes, jelen esetben komoly biztonsági kockázatot jelent.
Az ilyen felületekhez szükséges azonosítókat ugyanis tárolni kell valahol, lehetőleg biztonságos helyen, amelyhez nem férhet hozzá akárki - és az sem árt, ha az információ titkosított. A Safari esetében sajnos egyik sem áll fent, az adatokat a böngésző egy egyszerű plist fájlban őrzi, amelyet bárki megnyithat, és egyszerűen megtalálhatja benne az adott felhasználó belépési adatait. A fájlban a teljes munkamenet mentve van, tekintet nélkül arra, hogy a megtekintett oldalak igényeltek-e külön belépést - még akkor is ha a felhasználó a böngészés során https-t használt. Maga a plist fájl, amelyből kiolvashatók a felhasználónevek és jelszavak (amelyeket semmilyen titkosítás nem véd) egy rejtett könyvtárban található, ám aki tudja, hol keresse, mindenféle akadály nélkül hozzáférhet.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
A böngészőben a korábbi munkamenetet az “History” fület megnyitva, a “Reopen All Windows from Last Session” funkcióval tudjuk visszaállítani, ezzel újra megnyílnak az előzőleg bezárt ablakok - a LastSession.plist fájl adatai alapján. A szakértők szerint komoly biztonsági kockázatot jelent, hogy a rendszer a bizalmas információkat titkosítatlan, egyszerűen hozzáférhető formában tárolja, ezzel könnyű prédát jelentve a kiberbűnözőknek. Ha egy támadó valamilyen módszerrel hozzáférést szerez a géphez, a plist állományból az adott felhasználóhoz tartozó azonosítókat és jelszavakat szerezhet meg, ezzel pedig online fiókok tartalmához is hozzáférhet például.
A hiba szerencsére csak adott OS X és Safari verziókat érint (OSX10.8.5 és Safari 6.0.5 (8536.30.1), valamint OS X 10.7.5, illetve Safari 6.0.5 (7536.30.1)), a böngésző 6.1-es változatában már nincs jelen. A Kaspersky értesítette az Apple-t a sebezhetőségről, azt azonban egyelőre nem tudni, vannak-e olyan kártékony programok, amelyek a védtelen plist fájlokra vadászva gyűjtik a felhasználók Facebook, Twitter vagy akár online bankszámlához szükséges belépési adatait.