Safari 브라우저 해킹으로 자동 채우기 보안 문제 밝혀짐

보안 연구원은 공격자가 민감한 개인 정보를 추출하기 위해 악용 될 수있는 애플의 사파리 웹 브라우저에 약점을 드러냈다. 사파리 취약점은 좀 더 심각하지만이 문제는 일반적으로 자동 채우기의 기본 개인 정보 보호 및 보안 문제를 보여줍니다.

WhiteHat Security의 창립자이자 CTO 인 Jeremiah Grossman은 공격자가 악성 웹 양식을 사용할 가능성이 있다고보고했습니다 Safari에서 Apple 주소록에 저장된 정보에서 이름, 주소 또는 전자 메일 주소와 같은 중요한 정보를 자동 완성하도록 할 수 있습니다. 이 문제는 Safari에서 기본적으로 선택되어있는 "내 주소록 카드의 정보 사용"양식을 작성하는 옵션의 기능입니다.

Grossman은이 문제가 오픈 소스 WebKit 엔진에 구축 된 모든 브라우저에 영향을 미친다 고 제안합니다. Mac OS X 및 iOS의 Safari는 물론 Chrome 브라우저도 지원합니다. 그러나 개념 증명은 최신 버전의 Chrome에서는 작동하지 않으며 iOS에서 작업하려면 사용자 개입이 필요합니다.

[추가 정보: Windows PC에서 악성 코드를 제거하는 방법]

이 보안 결함은 Mac OS X에서 실행되는 Safari 웹 브라우저에 국한되어있는 것으로 보입니다. 그러나 Mac OS X은 운영 체제 시장의 약 5 % 만 차지하므로 모든 Mac OS X 사용자가 의존하지는 않습니다 Safari에서 웹을 탐색 할 때 문제의 영향은 상대적으로 미미합니다.

Grossman은 Safari AutoFill 해킹에 대한 블로그 게시물, 다른 브라우저 또는 운영 체제의 자동 완성 기능 차이점을 지적합니다. 사파리는 악의적 인 웹 사이트를 사용하여 민감한 데이터를 "전에도 본 적이 없거나 개인 정보를 입력하지 않았더라도"항복 할 것입니다.

사파리 해킹으로 이전에 입력하지 않은 정보를 공개 할 수 있다는 사실 주어진 분야는 더 심각한 iss를 만든다. 그러나 모든 브라우저와 운영 체제의 모든 자동 완성 기능은 어느 정도 수준의 보안 및 개인 정보 보호 문제를 나타냅니다. 자동 채우기는 편의를 위해 보안 및 개인 정보를 교환해야하는 기능입니다.

자동 채우기는 다음에 필요할 때 자동으로 입력 할 수 있도록 정보를 저장하여 일상 생활을보다 편리하게 만들어줍니다. 사용자가 이름, 주소, 전화 번호, 전자 메일 주소 등과 같은 필드를 채우는 양식 데이터가 자주 발생합니다. 데이터가 자동 채우기에 저장되면 다음 번에 비슷한 양식 필드가 나타나면 필드를 클릭하기 만하면됩니다 자동 채우기에 저장된 항목의 목록을 표시하거나, 입력하기 시작할 때 입력 내용과 일치하는 자동 채우기의 정보로 항목을 채 웁니다.

Grossman이 Safari 자동 채우기 해킹을 사용하여 정보를 추출하는 것과 비슷한 방식으로 공격자는 공통 필드가있는 악의적 인 웹 양식을 만들고 알파벳의 각 문자를 눈으로 보면서 테스트하여 자동 완성 항목에 저장된 정보를 추출 할 수도 있습니다.

자동 채우기는 다른 방법들도. 웹 브라우저 주소 표시 줄의 자동 완성 기능은 방문한 URL을 표시 할 수 있으며 Microsoft Excel과 같은 프로그램의 자동 완성 기능은 이전에 다른 필드에 입력 한 데이터 나 정보를 노출시킬 수 있습니다.

자동 완성을 선택하고 필요가 발생할 때마다 같은 정보를 지루하게 입력하십시오. 그러나 IT 관리자와 사용자는 일반적으로 사용자에게 편의를 제공하는 동일한 기능을 사용하여 공격자가 거기에 저장된 데이터를 손상 시키거나 손상시키는 것이 더 편리하다고 이해한다고 주장합니다.

Tony의 Facebook 페이지 로 연락하거나 [email protected] 으로 이메일을 보내주십시오. 그는 또한 @ Tony_BradleyPCW.