Apple Safari blijkt gebruikersnamen en wachtwoorden van gebruikers onversleuteld in een bestand te bewaren, waar het eenvoudig door malware is te vinden, zo waarschuwt het Russische anti-virusbedrijf Kaspersky Lab. Safari kan net als veel andere browsers de vorige sessie van de gebruiker herstellen.
Het gaat dan om alle websites die op dat moment geopend waren, waaronder websites waar de gebruiker was ingelogd. De informatie om de sessie te herstellen bewaart Safari onversleuteld in een standaard plist-bestand, waar het eenvoudig te benaderen is. Het bestand wordt wel in een verborgen map opgeslagen, maar kan door iedereen worden gelezen.
"Stel je voor dat cybercriminelen of een kwaadaardig programma toegang tot het LastSession.plist-bestand op het systeem krijgt waar gebruikers op Facebook, Twitter, LinkedIn of hun online bankrekening inloggen", zegt analist Vyacheslav Zakorzhevsky. Het probleem werd aangetroffen op Mac OS X 10.7.5 en 10.8.5 met Safari 6.0.5.
"Wat ons betreft is het onversleuteld opslaan van vertrouwelijke informatie met onbeperkte toegang een groot beveiligingslek dat kwaadwillende gebruikers de mogelijkheid geeft om met zeer weinig moeite gegevens van gebruikers te stelen", aldus de analist. Apple is inmiddels over het probleem ingelicht. Zakorzhevsky zegt nog geen malware te kennen die misbruik van het lek maakt, maar stelt dat dit slechts een kwestie van tijd is.
Deze posting is gelocked. Reageren is niet meer mogelijk.