image

Safari lekt nog steeds wachtwoorden via vorige sessies

vrijdag 27 december 2013, 09:56 door Redactie, 5 reacties

Een beveiligingslek in Apple Safari dat ervoor zorgt dat wachtwoorden van gebruikers onversleuteld worden opgeslagen is nog steeds in de browser aanwezig. Twee weken geleden liet het Russische anti-virusbedrijf Kaspersky Lab weten dat Safari een lijst van geopende websites bijhoudt.

De browser doet dit zodat het de vorige sessie van de gebruiker, bijvoorbeeld na een crash, kan herstellen. Ook geopende websites waar de gebruiker is ingelogd worden bewaard, alsmede de informatie om op deze websites in te loggen. Safari bewaart de websites en bijbehorende gebruikersnamen en wachtwoorden onversleuteld in een standaard plist-bestand, genaamd LastSession.plist.

"Stel je voor dat cybercriminelen of een kwaadaardig programma toegang tot het LastSession.plist-bestand op het systeem krijgt waar gebruikers op Facebook, Twitter, LinkedIn of hun online bankrekening inloggen", zo liet analist Vyacheslav Zakorzhevsky eerder deze maand weten. Het probleem werd door Kaspersky Lab aangetroffen op Mac OS X 10.7.5 en 10.8.5 met Safari 6.0.5.

Niet gepatcht

In de media verschenen berichten dat het probleem in nieuwe versies van Safari was gepacht, maar dat is niet zo, aldus beveiligingsbedrijf Rapid7. Gegevens worden ook in Apple Safari versie 6.1 en 7.0.1 (9537.73.11) op Mac OS X 10.9.1 onversleuteld opgeslagen.

Het beveiligingsbedrijf biedt de populaire hackertool Metasploit aan, waarmee security-professionals, penetratietesters en systeembeheerders de veiligheid van systemen en netwerken kunnen testen. Rapid7 heeft nu een module voor Metasploit ontwikkeld om het plist-bestand van Safari uit te lezen, zodat alle gebruikersnamen en wachtwoorden overzichtelijk worden weergegeven. De module helpt niet bij het bemachtigen van het plist-bestand.

Oplossing

Apple zou inmiddels over het probleem geïnformeerd zijn. In afwachting van een patch krijgen gebruikers van Rapid7 het advies om opgeslagen websitegegevens te verwijderen. Dit is eenvoudig te doen via het taakmenu van Safari. Door "Voorkeuren" te kiezen en vervolgens naar het tabblad "Privacy" te gaan kunnen opgeslagen gegevens middels de knop "Verwijder alle websitegegevens" worden verwijderd.

Image

Reacties (5)
27-12-2013, 13:08 door Anoniem
Nou dan wordt het tijd dat Apple dat patcht in de volgende service update voor OSX Maverics.
Dat moet dan gebeuren in versie 10.9.2
27-12-2013, 14:50 door Ed Dekker
Zojuist opnieuw geprobeerd, volgens aanwijzingen van Rapid7, maar met GELDIGE naam/wachtwoord-combi.
1. Niet terug te vinden in het leesbare deel van LastHistory.plist
2. Met Metasploit ook niet gevonden.
Getest met inloggen op security.nl en gmail.
Dit lijkt dus een broodje aap, of ze vertellen er iets niet bij.
27-12-2013, 18:18 door Briolet - Bijgewerkt: 27-12-2013, 18:19
Door Ed Dekker:1. Niet terug te vinden in het leesbare deel van LastHistory.plist
2. Met Metasploit ook niet gevonden.

Je bedoelt zeker "LastSession.plist", want die wordt in dat artikel genoemd. Maar ik heb er ook in gekeken en vind het wachtwoord ook niet leesbaar terug. In de plist staat per tabblad een entry en als op GMail inlog met een echt account, dan vind ik mijn accountnaam wel 'leesbaar' (in hexadecimale ascii waardes) terug, maar niet mijn wachtwoord.

Ook dat verhaal om in de voorkeuren alle website data te wissen snap ik niet. Als je een tabblad stuit, verdwijnt ook zijn entry uit LastSession.plist. Volgens het artikel is het daar waar de info in zou staan en dat is dus weg bij sluiten van tabblad of browser. Dus zijn mooie handleiding klopt niet, of mist essentiële stappen.
27-12-2013, 21:04 door Anoniem
Geldt dit wachtwoord issue mogelijk ook voor bijvoorbeeld een oudere (nog ondersteunde) versie van Safari?

De proef eens op de som met een oudere Mac genomen met daarop Snow Leopard 10.6.8 en de laatst beschikbare Safari versie voor dat OS X, Version 5.1.10 (6534.59.10) 2003-2013.

Af en toe maak ik gebruik van een gratis webmaildienst (welke even niet belangrijk, webmail dienst X).
Safari gebruik ik om diverse redenen sowieso eigenlijk nooit, dus ook niet voor webmaildiensten.
Vandaag een uitzondering gemaakt om het wachtwoord issue eens te controleren, ook omdat er een hoop Apple gebruikers zijn die wél standaard met Safari browsen en gebruik maken van een wat ouder OS X.
(Snow Leopard marketshare nog steeds rond de 30%? Mavericks heeft vooral van Mountain Lion en eventueel nog wat van Lion Afgesnoept. Niet iedereen met een goed werkende Mac kan door naar Mavericks en ziet daarnaast het nut niet in om wel nog naar bijvoorbeeld Lion over te stappen, maar dat terzijde).

Aan de slag : Ingelogd met Safari op Webmaildienst X, diverse boxen geopend en weer afgesloten om daarna eens te kijken welke files en directories waren veranderd in de lokale user library.

Het volgende file geopend en bekeken met TextWrangler
~/Library/Safari/LastSession.plist

Wat zie ik : in het midden van het file een lang verticaal veld met tekens waar ik niets van kom bakken, iets als (ingekort)
<data>
AAAA
nRyeU
AAAALK
</data>
Nergens een wachtwoord in terug te vinden of zichtbaar te herleiden, geen idee hoe en naar wat ik deze verzameling tekens zou moeten omzetten.

Dan deze Safari directory eens bekeken
~/Library/Caches/com.apple.Safari/Webpage\ Previews

Tja dat had ik kunnen weten : niet heel fijn idee om te zien dat er in de "Webpage Previews" ook screenshots te vinden zijn van de webmail inboxpagina.
Zowel een jpg als een png. De png geeft een beter scherper beeld.

Op naar het volgende Safari file, de Cache.db van Safari eens bekeken
~/Library/Caches/com.apple.Safari/Cache.db

Tjonge!!
De eerste keer dat ik dit file vandaag onderzocht, ontdekte ik een complete index van mijn mailbox !!! ; mailadressen, IP-nummers, eerste anderhalve zin van elke mail en verwijzingen naar andere mails wanneer het een reply /reactie op een andere mail betrof!

Dat wilde ik nog eens repliceren : ter controle Safari helemaal ge-reset, caches en history leeggemaakt en dergelijke.

Opnieuw de Cache.db bekeken op geïndexeerde mail, dat lukt eerst niet, gek genoeg niet meer te vinden.
Na een aantal keer proberen ontdek ik dat ik kennelijk ingelogd wat mailboxen moet aanklikken, verzonden, spam, prullenbak en weer naar de inbox.
Safari opnieuw gewoon afgesloten.

De Cache.db geopend in het programma TextWrangler.
Alles vanuit hier gekopieerd naar een plain text veld in Textedit (geen rtf opmaak, plain text is toetscommando "shift cmd T") . Nieuw document geopend in TextEdit met rtf opmaak en alles uit het plain text document gekopieerd.

In de wetenschap dat ergens in de woordenbrij delen van correspondentie te vinden zijn diverse zoek opdrachtjes uitgevoerd op steekwoorden.
En ja hoor, de soort van (totale) index van mijn mailbox is in de grote tekstbrij terug te vinden.
Dat is per gevonden mailbericht niet de hele mail, dus 'so what' zul je denken.
Het geeft echter een goed beeld van de inhoud van je mailbox, een beter beeld dan wat je bijvoorbeeld alleen zou kunnen afleiden uit metadata van correspondentie (mailadres, IP-nummer, onderwerp-regel), je hebt nu van elke mail immers grofweg de eerste zin erbij.

Het 'alarmerende security.nl-nieuws' bericht ging over het bemachtigen van je password, die heb ik niet kunnen terugvinden.

De toevallige ontdekking van de data in de Cache.db vindt ik ook niet mis.
Immers; mocht je het login password van een mailbox niet kunnen bemachtigen dan is de cache.db van Safari een goede tweede omdat zij net zo makkelijk benaderbaar is.
Hoe je als buitenstaander aan dat file komt weet ik niet, maar als het je lukt om de "LastSession.plist" uit een lokale library van een gebruiker kan vissen met het ook lukken die paar webpage previews en de Cache.db eruit te vissen.


Tot slot nog iets over het resetten van Safari.

Met de "Remove all website data" functie wis je overigens niet de historie van bezochte webpagina's, die blijven gewoon zichtbaar in het "History" menu.

Bij mijn weten (maar ik ken de allernieuwste versie van Safari Mavericks niet) is de énige manier om de complete cache van Safari écht leeg te krijgen de "Reset Safari" functie
(wat je eventueel nog kan doen in combinatie met een "shift"-safe-safari-boot, of het uitmaakt heb ik verder niet nader nog bekeken).

Aléén met de "Reset Safari" functie wordt óók de icondatabase, "WebpageIcons.db" gewist!
~/Library/Safari/WebpageIcons.db
Bij mijn weten blijft in alle andere gevallen deze database intact.
Belangrijk want uit deze icondatabase is ook nog af te leiden welke webpages je hebt bezocht (in mijn testgeval was dat webmail X).

De genoemde Cache.db is overigens wel gewoon met in het artikel beschreven methode te wissen. Goed zichtbaar, in mijn geval ging het van ruim 5 mb direct weer naar iets van 25kb.
Safari Cache.db, best wel een dingetje ? (!).

Ik ben benieuwd naar testjes van andere Mac gebruikers met nieuwere Safari versies in combinatie met diverse webmailservices, levert dat ook een index van je mailbox op in de Cache.db ?
(maar misschien ligt het in dit geval niet specifiek aan Safari maar is het een webdesign fout van die andere grote webmail dienst, laat ik nu nog even in het midden door het Webmail X te noemen).


(Bovenstaande reactie was eigenlijk in voorbereiding als geïllustreerde tip aan de redactie, gezien geposte reacties in de tijd die ik aan het uitzoekwerk heb besteed besloot ik nu maar direct mijn bevindingen hier te plaatsen).
30-12-2013, 00:33 door Anoniem
En toen was het stil,...


Maar nu niet meer, ;-)

Goed, Snow Leopard is wellicht te oud voor mogelijk geinteresseerden?
Geeft niet, bevindindingen onder 27-12-2013, 21:04, door IdemAnoniem nu vergeleken met Safari Versie 6.1.1 (7537.73.11) voor Lion.

- Nog steeds geen wachtwoorden van webmail X onversleuteld kunnen ontdekken in Lastsession.plis of elders. Al geeft Safari via wachtwoordbeheer nu door dat de webmailwebsite in kwestie aangeeft dat het liever niet wil dat het inlog wachtwoord wordt opgeslagen. Het kan wel maar dan dien ik de screenlock functie onder OS X te activeren.
Evengoed levert dat toch geen zichtbaar wachtwoord op onder wachtwoord beheer, niet in de keychain en ook niet in library files.

Ik zag ook al niets onder te onthouden wachtwoorden bij de Safari 5.1.10 versie, waarbij bij sommige opties - naast het aanklikken van wachtwoord onthouden ook de optie "other forms" - de keychain wachtwoord manager werd geactiveerd.
Daar werd dan door Safari wel een wachtwoord opgeslagen dat weer niet leek op het inlog-wachtwoord van de mail.
Waar dat wachtwoord door betreffende mailservice X dan wel voor gebruikt wordt weet ik niet, mooie unieke identificeerfunctie? Beter dan een cookie misschien, dat onbekende keychain wachtwoord gooi je vast niet zo snel weg als je identificerende cookies. (reset Safari reset niet je keychian wachtwoorden, je gewone wachtwoorden wel?)

- De webpreview images screenshots worden niet meer van de inlogpagina gemaakt en ook niet van mijn mailinbox pagina, dat lijkt winst / vooruitgang tov de vorige versie.

- De Cache.db is minder groot maar slaat nog wel een hoop op, het ontrafelen van de vele data levert een nieuwe ontdekking op.
De passages waarin eerst de eerste zinnen van een mail waren te herkennen lijken nu versleuteld = onleesbaar. De zinnen staan er niet meer, in plaats daarvan code die ik niet tot vermoede zinnen kan omtoveren.

Andere zinsdelen uit vermoedelijk advertenties of aanwijzingen van de webmailbox zelf zijn wel te lezen, deze passages zijn dus niet versleuteld.

Safari 6 kent verder hier en daar wat wijzigingen in de files die het opslaat maar ook gewoon in de menu opties (daardoor mijn eerdere reactie hierboven niet te plaatsen?).
De optie van het handematig legen van de cache is verdwenen en de lijst met opties die je had onder Reset Safari is flink ingekort; van 10 naar 6 opties (waarvan 5 opties gelijk gebleven ,.. .. ..?).

Ten aanzien van reset Safari nog een opmerking, na reset browser afsluiten en opnieuw opstarten.
Pas dan zijn alle data weg, doorgaan na reset laat soms toch de last session history ongemoeid.
Opnieuw opstarten na reset dus.

En je topsites window is een suppercookie monster, maar dat wist je waarschijnlijk al (bij openen gelijk verbinding met 16 sites inclusief alle trackers per pagina (?). Welcome to trackerfest!
Geen topsites en een blacko startpagina helpen ook je privacy (enigszins) wat te managen, mocht het je interesse hebben.

Verder vind ik het wel mooi geweest zo, … , mr rapido heeft in ieder geval weer voldoende aandacht gehad. Wat er nou waar is van het bericht blijft een raadsel, in ieder geval heeft hij vast vele downloads bereikt voor zijn nieuwe module.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.