연구원은 사파리가 개인 정보를 밝혀내는 것을 발견했습니다.

사파리의 자동 완성 기능은 기본적으로 활성화되어 있으며 정보를 입력한다. 도시 이름, 직장, 도시, 주 및 전자 메일 주소와 같은 이름이 양식을 인식하면 WhiteHat Security의 CTO 인 Jeremiah Grossman이 그의 블로그에 썼습니다. 이 정보는 Safari의 로컬 운영 체제 주소록에서 제공됩니다.

특정 웹 사이트에 아무런 데이터도 입력하지 않은 경우에도 데이터가 양식에 덤프되므로 해커에게 기회가됩니다.

독서: Windows PC에서 멀웨어를 제거하는 방법] "악의적 인 웹 사이트가 비밀리에 사파리에서 주소록 카드 데이터를 추출하는 일은 드물지만 앞에서 언급 한 이름으로 폼 텍스트 필드를 동적으로 생성 한 다음 AZ를 시뮬레이트합니다 자바 스크립트를 이용한 키 스트로크 이벤트 "라고 Grossman은 적었다. "데이터가 채워지면 자동 완성되어 액세스하여 공격자에게 보낼 수 있습니다. '

공격에 대한 개념 코드는 SecTheory의 CEO 인 Robert Hansen의 블로그에 게시되었습니다.Grossman 그의 블로그에 공격 비디오를 올렸습니다.

어떤 이유로 인해 숫자로 시작하는 데이터는 텍스트 필드를 채우지 않고 얻을 수 없습니다. "그러나 그러한 공격은 쉽고 값 싸게 대량으로 배포 될 수 있습니다 그는 루트킷 페이로드를 제공하기 위해 개발 된 코드가 아니기 때문에 아무도 눈치 채지 못할 가능성이있는 광고 네트워크를 사용하고 있다고 덧붙였다. "사실, 아직 이루어지지 않았다는 보장은 없다"고 썼다. 이 취약점은 너무 뇌가 심해서 다른 사람이 이미 공개적으로보고 했어야한다고 생각하기 때문에 안전하다고 말하면서도 철저한 검색과 여러 동료에게 묻지는 않았습니다. "

년 6 월 17 일 Grossman은이 문제를 Apple에보고했습니다. 그러나 그는 아직 개인화 된 답장을받지 못했습니다.

이것을 피하려면 사용자는 자동 작성 웹 양식을 단순히 비활성화 할 수 있다고 그는 기술했다.

[email protected]에 뉴스 팁 및 의견 보내기