Hack do Navegador Safari Revela Preocupações com a Segurança do AutoFill

Um pesquisador de segurança revelou uma fraqueza no navegador da Web Safari da Apple, que pode ser explorada por um invasor para extrair informações pessoais confidenciais. A vulnerabilidade do Safari é um pouco mais severa, mas o problema ilustra as preocupações de privacidade e segurança subjacentes com o AutoFill em geral.

Jeremiah Grossman, fundador e CTO da WhiteHat Security, relatou que é possível um invasor usar um formulário da Web mal-intencionado fazer com que o Safari preencha automaticamente informações confidenciais, como nome, endereço ou endereço de e-mail, a partir das informações armazenadas no Catálogo de Endereços da Apple. O problema é uma função da opção de preencher formulários "Usando informações do meu cartão da Agenda", que é marcado por padrão no Safari.

Grossman sugere que o problema afeta todos os navegadores construídos no mecanismo WebKit de código aberto. incluindo o Safari no Mac OS X e no iOS, bem como o navegador Google Chrome. No entanto, a prova de conceito não funciona na versão mais recente do Chrome e requer intervenção do usuário para funcionar no iOS.

[Outras leituras: Como remover malware do seu PC com Windows]

A vantagem é que essa falha de segurança parece confinada - mais ou menos - ao navegador Safari em execução no Mac OS X. Mas, como o Mac OS X representa apenas cerca de cinco por cento do mercado de sistemas operacionais, nem todos os usuários do Mac OS X contam no Safari para navegar na Web, o problema tem um impacto potencial relativamente pequeno.

Grossman aponta em seu post no Safari AutoFill hack, a diferença entre os recursos de Autopreencher de outros navegadores ou sistemas operacionais, e esse problema em particular é que o Safari entregará dados confidenciais a um invasor usando um site mal-intencionado "mesmo que nunca tenham estado lá antes ou inserido qualquer informação pessoal".

O fato de o Safari hackear revelar informações que não foram anteriormente digitadas dado campo torna um iss mais grave mas a realidade é que todos os recursos de Autopreencher em todos os navegadores e sistemas operacionais representam uma preocupação de segurança e privacidade em algum nível. O recurso Autopreencher é um recurso que exige a troca de alguma segurança e privacidade em prol da conveniência.

O Autopreencher foi projetado para facilitar a vida, armazenando informações para que elas possam ser inseridas automaticamente na próxima vez que forem necessárias. É mais freqüentemente encontrado com dados de formulário onde os usuários preenchem campos como nome, endereço, número de telefone, endereço de e-mail, etc. Uma vez que os dados são armazenados no Preenchimento Automático, a próxima vez que um campo de formulário semelhante é encontrado, basta clicar no campo revelará uma lista das entradas armazenadas no AutoPreenchimento ou o início do tipo preencherá a entrada com informações do Preenchimento Automático que corresponde ao que está sendo digitado.

De maneira similar ao que Grossman usa para extrair informações usando o Hacker do AutoPreenchimento do Safari, o invasor também pode extrair informações que um usuário armazenou no recurso Autopreencher, criando um formulário da Web mal-intencionado com campos comuns e testando cada letra do alfabeto para ver quais são as entradas de preenchimento automático.

O Autopreencher também pode revelar informações confidenciais em outras formas também. O recurso de Autopreencher da barra de endereço do navegador da Web pode revelar URLs que foram visitadas, e o recurso Autopreencher em programas como o Microsoft Excel pode expor dados ou informações que foram inseridas anteriormente em outros campos.

Não estou sugerindo que todos abandonem Autopreencher e voltar a tediosamente digitando a mesma informação toda vez que houver necessidade. Estou, no entanto, defendendo que os administradores de TI e usuários em geral entendem que os mesmos recursos que proporcionam conveniência para o usuário também tornam mais conveniente para um invasor violar ou comprometer os dados armazenados.

Você pode seguir Tony em seu Página do Facebook, ou entre em contato com ele pelo e-mail [email protected]. Ele também tweets como @Tony_BradleyPCW.