Een beveiligingslek in Apple Safari dat ervoor zorgt dat wachtwoorden van gebruikers onversleuteld worden opgeslagen is nog steeds in de browser aanwezig. Twee weken geleden liet het Russische anti-virusbedrijf Kaspersky Lab weten dat Safari een lijst van geopende websites bijhoudt.
De browser doet dit zodat het de vorige sessie van de gebruiker, bijvoorbeeld na een crash, kan herstellen. Ook geopende websites waar de gebruiker is ingelogd worden bewaard, alsmede de informatie om op deze websites in te loggen. Safari bewaart de websites en bijbehorende gebruikersnamen en wachtwoorden onversleuteld in een standaard plist-bestand, genaamd LastSession.plist.
"Stel je voor dat cybercriminelen of een kwaadaardig programma toegang tot het LastSession.plist-bestand op het systeem krijgt waar gebruikers op Facebook, Twitter, LinkedIn of hun online bankrekening inloggen", zo liet analist Vyacheslav Zakorzhevsky eerder deze maand weten. Het probleem werd door Kaspersky Lab aangetroffen op Mac OS X 10.7.5 en 10.8.5 met Safari 6.0.5.
In de media verschenen berichten dat het probleem in nieuwe versies van Safari was gepacht, maar dat is niet zo, aldus beveiligingsbedrijf Rapid7. Gegevens worden ook in Apple Safari versie 6.1 en 7.0.1 (9537.73.11) op Mac OS X 10.9.1 onversleuteld opgeslagen.
Het beveiligingsbedrijf biedt de populaire hackertool Metasploit aan, waarmee security-professionals, penetratietesters en systeembeheerders de veiligheid van systemen en netwerken kunnen testen. Rapid7 heeft nu een module voor Metasploit ontwikkeld om het plist-bestand van Safari uit te lezen, zodat alle gebruikersnamen en wachtwoorden overzichtelijk worden weergegeven. De module helpt niet bij het bemachtigen van het plist-bestand.
Apple zou inmiddels over het probleem geïnformeerd zijn. In afwachting van een patch krijgen gebruikers van Rapid7 het advies om opgeslagen websitegegevens te verwijderen. Dit is eenvoudig te doen via het taakmenu van Safari. Door "Voorkeuren" te kiezen en vervolgens naar het tabblad "Privacy" te gaan kunnen opgeslagen gegevens middels de knop "Verwijder alle websitegegevens" worden verwijderd.
Deze posting is gelocked. Reageren is niet meer mogelijk.