image

Safari lekt weer privégegevens gebruikers

vrijdag 24 september 2010, 10:25 door Redactie, 5 reacties

Door een onvolledige beveiligingsupdate van Apple lekt Safari weer privégegevens aan kwaadaardige websites. Halverwege juli demonstreerde beveiligingsonderzoeker Jeremiah Grossman dat de auto-complete functionaliteit in de browser het voor websites mogelijk maakte om voornaam, achternaam, werkadres, stad, staat en e-mailadres van Safari-gebruikers te achterhalen, ook al hadden die de website nog nooit eerder bezocht.

Apple kwam een dag voor de presentatie van Grossman met een patch, maar die is volgens de onderzoeker "incompleet". Het is niet alleen mogelijk om de aanval weer uit te voeren, dit keer kan het sneller en met meer gegevens. Grossman waarschuwde Apple op tien augustus over het probleem met de patch, maar kreeg geen antwoord. Op dertien augustus probeerde hij het weer, maar wederom geen reactie van Apple, tot hij een week later werd gebeld. De werknemer van Apple wist echter niets van het net gerapporteerde probleem en belde eigenlijk naar aanleiding van de eerste rapportage door Grossman. Uiteindelijk verontschuldigde 'Cupertino' zich voor het laat reageren en werden de details van de kwetsbaarheid uitgewisseld.

Patch
Het probleem is echter niet zo eenvoudig op te lossen, merkt de onderzoeker op. "Gelukkig is voor security-bewuste gebruikers een patch niet nodig om zich te beschermen. Schakel gewoon de AutoFill feature uit." Om de aanval nu te laten slagen moet een kwaadaardige website het slachtoffer wel twee toetsen laten indrukken. Zodra de benodigde toetsen zijn ingedrukt, beschikt de website over allerlei persoonlijke informatie, zonder dat de gebruiker dit weet, besluit Grossman. De onderzoeker maakte deze video om zijn hack te demonstreren.

Reacties (5)
24-09-2010, 10:37 door Mysterio
Maar... ze hebben geen last van de everlasting cookie. -zucht-
24-09-2010, 15:56 door [Account Verwijderd]
[Verwijderd]
24-09-2010, 19:52 door P5ycH0
Een privacy aware gebruiker gebruikt nooit zaken zoals 'auto-complete'. Maakt niet uit welke browser of os.
24-09-2010, 20:09 door [Account Verwijderd]
[Verwijderd]
26-09-2010, 01:36 door Anoniem
Door P5ycH0: Een privacy aware gebruiker gebruikt nooit zaken zoals 'auto-complete'. Maakt niet uit welke browser of os.
Ook de mensen die minder privacybewust zijn moeten erop kunnen rekenen dat de browser niet hun prive gegevens uitlekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.