Week 10
Ένα χαρακτηριστικό του προγράμματος περιήγησης Safari της Apple που έχει σχεδιαστεί για να διευκολύνει την συμπλήρωση των εντύπων θα μπορούσε να καταστραφεί από τους χάκερ να συλλέξουν προσωπικές πληροφορίες, σύμφωνα με έναν ερευνητή ασφάλειας.
Η λειτουργία AutoFill του Safari είναι ενεργοποιημένη από προεπιλογή και θα συμπληρώσει πληροφορίες όπως το όνομα και το επώνυμο, ο τόπος εργασίας, η πόλη, το κράτος και η διεύθυνση ηλεκτρονικού ταχυδρομείου όταν αναγνωρίζει ένα έντυπο, γράφει στο blog του Jeremiah Grossman, CTO για την WhiteHat Security. Οι πληροφορίες προέρχονται από το βιβλίο διευθύνσεων του τοπικού λειτουργικού συστήματος του Safari.
Η λειτουργία αποβάλλει τα δεδομένα στη φόρμα, ακόμη και αν ένα άτομο δεν έχει εισάγει δεδομένα σε συγκεκριμένο ιστότοπο, γεγονός που δημιουργεί μια ευκαιρία για έναν χάκερ. Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows
"Όλοι ένας κακόβουλος ιστότοπος θα έπρεπε να κάνει για να εξαγάγετε κρυφά δεδομένα κάρτας Address Book από το Safari είναι να δημιουργήσετε δυναμικά πεδία κειμένου μορφής με τα προαναφερθέντα ονόματα, πιθανώς αόρατα και στη συνέχεια να προσομοιώσετε AZ τα γεγονότα πληκτρολόγησης που χρησιμοποιούν JavaScript, "έγραψε ο Grossman. "Όταν τα δεδομένα είναι γεμάτα, δηλαδή Auto Fill'ed, μπορούν να προσπελαστούν και να σταλούν στον εισβολέα."Ο κώδικας απόδειξης απόδειξης για μια επίθεση έχει δημοσιευθεί στο blog του Robert Hansen, Διευθύνων Σύμβουλος της SecTheory. δημοσίευσε επίσης ένα βίντεο της επίθεσης στο ιστολόγιό του.
Για κάποιο λόγο, τα δεδομένα που αρχίζουν με τους αριθμούς δεν θα γεμίσουν πεδία κειμένου και δεν θα μπορούν να ληφθούν. "Ωστόσο, τέτοιες επιθέσεις θα μπορούσαν εύκολα και οικονομικά να διανεμηθούν σε μαζική κλίμακα χρησιμοποιώντας ένα διαφημιστικό δίκτυο όπου πιθανότατα κανείς δεν θα μπορούσε ποτέ να παρατηρήσει γιατί δεν εκμεταλλεύεται κώδικα που έχει σχεδιαστεί για να παραδώσει ωφέλιμο φορτίο rootkit ", γράφει ο Grossman.
« Στην πραγματικότητα, δεν υπάρχει εγγύηση ότι αυτό δεν έχει συμβεί », γράφει. είναι ασφαλές να πούμε ότι αυτό το τρωτό σημείο είναι απλά εγκεφαλικό νεκρό, που υποθέτω ότι κάποιος άλλος πρέπει να το έχει ήδη δημοσιοποιήσει, αλλά εξαντλητικές αναζητήσεις και ζητώντας από πολλούς συναδέλφους δεν έδειξαν τίποτα ».
Ο Grossman ανέφερε το πρόβλημα στην Apple στις 17 Ιουνίου, αλλά δεν έχει λάβει ακόμη μια εξατομικευμένη απάντηση.
Για να αποφευχθεί αυτό είναι οι χρήστες μπορούν απλά να απενεργοποιήσουν τις φόρμες Web AutoFill, έγραψε.
Στείλτε συμβουλές ειδήσεων και σχόλια στο [email protected]
Νέα υπηρεσία εφαρμόζει την κοινωνική δικτύωση σε δοκιμές εφαρμογών
Μια νέα εκκίνηση χρησιμοποιεί έννοιες κοινωνικής δικτύωσης για την παροχή υπηρεσιών δοκιμών σφαλμάτων εφαρμογών
Η Κοινωνική Εφαρμογή της Microsoft για την Κοινωνική Εφαρμογή της Microsoft έρχεται σε επαφή με το Διαδίκτυο, την επιφάνεια εργασίας
Μια νέα εφαρμογή από την Έρευνα της Microsoft επιτρέπει στους χρήστες να μοιράζονται αρχεία από την επιφάνεια εργασίας τους Web
Η Google προσθέτει εξατομικευμένα κοινωνικά δεδομένα στα αποτελέσματα αναζήτησης με τη νέα κοινωνική αναζήτηση Google, η οποία ξεκινά πειραματικά σήμερα. Η κοινωνική αναζήτηση Google, η οποία ανακοινώθηκε στην Σύνοδο Κορυφής Web 2.0 της προηγούμενης εβδομάδας, προσθέτει περιεχόμενο από τους φίλους σας απευθείας στις αναζητήσεις σας στο Google.
Σε αντίθεση με την αναζήτηση Twitter με βάση το Bing της Microsoft, η Κοινωνική Αναζήτηση της Google χρησιμοποιεί τις δικές σας λίστες επαφών από διάφορες υπηρεσίες δίκτυο και, στη συνέχεια, περιέχει περιεχόμενο συγκεκριμένα από τους ανθρώπους που γνωρίζετε. Και ενώ συμπεριλαμβάνει το Twitter, περιλαμβάνει επίσης το FriendFeed, κοινές ιστορίες του Google Reader και άλλο κοινωνικό περιεχόμενο από τον ιστό.