Een privacylek in Safari maakt het kinderspel voor kwaadaardige websites om privégegevens te stelen, waardoor ruim 80 miljoen gebruikers risico lopen. Safari 4 en 5 hebben een marktaandeel van zo'n vier a vijf procent, wat neerkomt op ongeveer 83 miljoen gebruikers wereldwijd. De auto-complete functionaliteit in de browser maakt het mogelijk voor websites om voornaam, achternaam, werkadres, stad, staat en e-mailadres van Safari-gebruikers te achterhalen, ook al hebben die de website nog nooit eerder bezocht.

De velden die de kwaadaardige website opvraagt worden automatisch gevuld met gegevens uit het lokale adresboek van de gebruiker. Dit verschilt van de normale auto-complete functie, die eerder ingevoerde gegevens in een formulier onthoudt. Via JavaScript kan een aanvaller binnen enkele seconden de informatie uit het adresboek halen. "Het gehele proces duurt slechts een paar seconden en vormt een gigantische schending van de online privacy", aldus Grossman.

Hij waarschuwt dat de aanval als voorbereiding op aanvullende aanvallen kan dienen, zoals spam, spearphishing, stalking en zelfs afpersing. Bijvoorbeeld als iemand een dubieuze website bezoekt. Het is de onderzoekers niet gelukt om gegevens die met een cijfer beginnen te achterhalen, zoals telefoonnummer.

Aanval
Toch zijn dit soort aanvallen eenvoudig en goedkoop op grote schaal via een advertentienetwerk te verspreiden, waar niemand het opmerkt, aangezien de exploitcode geen rootkit installeert. "Sterker nog, er is geen garantie dat dit niet al gebeurt", waarschuwt de onderzoeker. Het lek is zo eenvoudig, dat Grossman dacht dat iemand anders het al had ontdekt. Toch kon hij er geen andere publicaties over vinden.

De onderzoeker waarschuwde Apple op 17 juni en ontving een automatische ontvangstbevestiging. Daar reageerde hij op, maar toen bleef het stil. Grossman heeft dan ook geen idee wanneer Apple het lek verhelpt en of ze hier wel van weten. Safari-gebruikers krijgen dan ook het advies om de 'AutoFill web forms' uit te schakelen.