Week 10
Ένας ερευνητής ασφαλείας αποκάλυψε μια αδυναμία στο πρόγραμμα περιήγησης ιστού Safari της Apple, το οποίο μπορεί να εκμεταλλευτεί ένας εισβολέας για να εξαγάγει ευαίσθητες προσωπικές πληροφορίες. Η ευπάθεια του Safari είναι λίγο πιο σοβαρή, αλλά το θέμα δείχνει τα βασικά προβλήματα ιδιωτικής ζωής και ασφάλειας με την αυτόματη συμπλήρωση (AutoFill) γενικά.
Ο Grossman υποδεικνύει ότι το ζήτημα επηρεάζει όλα τα προγράμματα περιήγησης που είναι ενσωματωμένα στον μηχανισμό WebKit ανοιχτού κώδικα - συμπεριλαμβανομένου του Safari σε Mac OS X και iOS, καθώς και στο πρόγραμμα περιήγησης Google Chrome. Ωστόσο, η απόδειξη της ιδέας δεν λειτουργεί στην πιο πρόσφατη έκδοση του Chrome και απαιτεί την παρέμβαση του χρήστη να λειτουργεί στο iOS.
[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]ότι αυτό το ελάττωμα ασφαλείας φαίνεται να περιορίζεται - λίγο πολύ - στο πρόγραμμα περιήγησης Safari Web που εκτελείται σε Mac OS X. Όμως, δεδομένου ότι το Mac OS X αποτελεί μόνο το 5% της αγοράς του λειτουργικού συστήματος και δεν βασίζονται σε όλους τους χρήστες του Mac OS X στο Safari για περιήγηση στο Web, το θέμα έχει σχετικά μικρό δυνητικό αντίκτυπο.
Ο Grossman επισημαίνει στην αναρτήσεώς του blog στο Safari AutoFill hack, τη διαφορά μεταξύ των δυνατοτήτων αυτόματης συμπλήρωσης άλλων προγραμμάτων περιήγησης ή λειτουργικών συστημάτων και αυτό το συγκεκριμένο ζήτημα είναι ότι το Safari θα παραδώσει ευαίσθητα δεδομένα σε έναν εισβολέα που χρησιμοποιεί μια κακόβουλη τοποθεσία Web "ακόμα κι αν ποτέ δεν είχαν πάει εκεί πριν ή εισήγαγαν προσωπικές πληροφορίες."
Το γεγονός ότι το Safari hack μπορεί να αποκαλύψει πληροφορίες που δεν είχαν προηγουμένως πληκτρολογήσει δεδομένου τομέα το καθιστά πιο σοβαρό ue, αλλά η πραγματικότητα είναι ότι όλες οι λειτουργίες αυτόματης συμπλήρωσης σε όλα τα προγράμματα περιήγησης και τα λειτουργικά συστήματα αντιπροσωπεύουν μια ανησυχία σχετικά με την ασφάλεια και την προστασία της ιδιωτικής ζωής σε κάποιο επίπεδο. Η αυτόματη συμπλήρωση είναι μια λειτουργία που απαιτεί την ανταλλαγή κάποιας ασφάλειας και ιδιωτικού απορρήτου για λόγους ευκολίας.
Η αυτόματη συμπλήρωση έχει σχεδιαστεί για να απλοποιεί τη ζωή με την αποθήκευση πληροφοριών, ώστε να μπορεί να εισαχθεί αυτόματα την επόμενη φορά που θα χρειαστεί. Συνήθως συναντάται με δεδομένα φόρμας όπου οι χρήστες συμπληρώνουν πεδία όπως όνομα, διεύθυνση, αριθμό τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου κ.λπ. Μόλις τα δεδομένα αποθηκευτούν στην αυτόματη συμπλήρωση, την επόμενη φορά που θα συναντήσετε ένα παρόμοιο πεδίο φόρμας, απλά κάντε κλικ στο πεδίο θα αποκαλύψει μια λίστα με τις καταχωρήσεις που είναι αποθηκευμένες στην Αυτόματη συμπλήρωση ή αρχίζει να πληκτρολογεί θα συμπληρώσει την καταχώρηση με πληροφορίες από την Αυτόματη Συμπλήρωση που ταιριάζει με ό, τι πληκτρολογείται.
Με παρόμοιο τρόπο με αυτό που χρησιμοποιεί ο Grossman για να εξαγάγει πληροφορίες χρησιμοποιώντας το Safari AutoFill hack, ένας εισβολέας θα μπορούσε επίσης να εξάγει πληροφορίες που έχει αποθηκεύσει ένας χρήστης στη λειτουργία αυτόματης συμπλήρωσης, δημιουργώντας μια κακόβουλη φόρμα ιστού με κοινά πεδία και δοκιμάζοντας αόρατα κάθε γράμμα του αλφαβήτου για να δείτε τις καταχωρήσεις αυτόματης συμπλήρωσης.
Η αυτόματη συμπλήρωση μπορεί επίσης να αποκαλύψει ευαίσθητες πληροφορίες με άλλους τρόπους. Η δυνατότητα αυτόματης συμπλήρωσης της γραμμής διευθύνσεων του προγράμματος περιήγησης στο Web ενδέχεται να αποκαλύψει διευθύνσεις URL που έχουν επισκεφθεί και η δυνατότητα αυτόματης συμπλήρωσης σε προγράμματα όπως το Microsoft Excel θα μπορούσε να εκθέσει δεδομένα ή πληροφορίες που έχουν καταχωρηθεί προηγουμένως σε άλλα πεδία
Δεν προτείνω να εγκαταλείψουν όλοι Αυτόματη συμπλήρωση και επιστρέψτε στην πληκτρολόγηση με ταπεινότητα στην ίδια πληροφορία κάθε φορά που προκύπτει η ανάγκη. Υποστηρίζω, ωστόσο, ότι οι διαχειριστές πληροφορικής και οι χρήστες γενικά κατανοούν ότι τα ίδια χαρακτηριστικά που παρέχουν ευκολία για τον χρήστη, καθιστούν επίσης πιο βολικό για έναν εισβολέα να παραβιάζει ή να θέτει σε κίνδυνο τα αποθηκευμένα δεδομένα.
Μπορείτε να ακολουθήσετε τον Tony Facebook σελίδα, ή επικοινωνήστε μαζί του μέσω ηλεκτρονικού ταχυδρομείου στο [email protected]. Επίσης, κάνει tweets ως @Tony_BradleyPCW.
Έρευνα: Οι ανησυχίες σχετικά με την ασφάλεια στον κυβερνοχώρο, την υγειονομική περίθαλψη
> Πολλές επιχειρήσεις των ΗΠΑ δεν λαμβάνουν σοβαρά υπόψη την προστασία του κυβερνοχώρου και δεν επιθυμούν να ξοδέψουν χρήματα για πρόσθετη προστασία, σύμφωνα με πρόσφατη έρευνα των μεταπωλητών προστιθέμενης αξίας (VARs) από την Ένωση Υπολογιστικών Τεχνολογιών.
Το γραφείο του αμερικανικού εμπορίου Ο εκπρόσωπος (USTR), μέρος του γραφείου του Προέδρου Μπαράκ Ομπάμα, αρνήθηκε το αίτημα μιας εταιρείας για πληροφορίες σχετικά με μια εσκεμμένη εμπορική συμφωνία για την καταπολέμηση της παραποίησης / απομίμησης, η οποία διαπραγματεύεται, επικαλούμενη ανησυχίες για την εθνική ασφάλεια. από την Knowledge Ecology International, μια ομάδα έρευνας και υπεράσπισης πνευματικής ιδιοκτησίας, παρόλο που ο Ομπάμα, σε ένα από τα πρώτα του προεδρικά μνημόνια, κάλεσε τους
. την ίδια θέση σχετικά με την εμπορική συμφωνία για την καταπολέμηση της παραποίησης / απομίμησης (ACTA), όπως έκανε και ο πρώην πρόεδρος Τζορτζ Μπους, ότι τα έγγραφα της συνθήκης δεν είναι ανοικτά στο κοινό. Μια από τις υποσχέσεις της καμπάνιας του Ομπάμα ήταν να κάνει την κυβέρνηση πιο ανοιχτή και να ανταποκρίνεται στο κοινό.
Η Ευρωπαϊκή Επιτροπή ξεκίνησε μια διεξοδική έρευνα σχετικά με την εξαγορά της Sun Microsystems από την Sun την Τετάρτη την Τετάρτη, αναφέροντας "σοβαρές ανησυχίες" για την επίδραση της συμφωνίας στον ανταγωνισμό στην αγορά των βάσεων δεδομένων. Η ανώτατη αρχή ανταγωνισμού της Ευρώπης ζήτησε να εξεταστεί προσεκτικότερα μετά από μια συνήθη μηνιαία εξέταση. Η Επιτροπή «πρέπει να εξετάσει πολύ προσεκτικά τις επιπτώσεις στον ανταγωνισμό στην Ευρώπη, όταν η κορυφαία εταιρία στον τομέα των βά
. ότι η αφηρημένη φύση της MySQL της Sun ενδέχεται να μην εξαλείψει πλήρως τις πιθανότητες αντιανταγωνιστικών αποτελεσμάτων.