Car-tech

Un chercheur découvre que Safari révèle des informations personnelles

Elephants au parc Addo

Elephants au parc Addo
Anonim

Une fonctionnalité du navigateur Safari d'Apple conçue pour faciliter le remplissage des formulaires pourrait être utilisée par des pirates pour collecter des informations personnelles, selon un chercheur de sécurité.

La fonction de saisie automatique de Safari est activée par défaut et remplit les informations comme nom et prénom, lieu de travail, ville, état, et adresse e-mail quand il reconnaît un formulaire, a écrit Jeremiah Grossman, directeur de la technologie pour WhiteHat Security, sur son blog. Les informations proviennent du carnet d'adresses du système d'exploitation local de Safari.

Cette fonctionnalité permet de stocker les données dans le formulaire même si aucune personne n'a saisi de données sur un site Web particulier, ce qui ouvre la porte à un pirate. lire: Comment supprimer les logiciels malveillants de votre PC Windows]

"Tout un site malveillant doit faire pour extraire subrepticement les données de la carte du carnet d'adresse de Safari est dynamiquement créer des champs de texte avec les noms susmentionnés, probablement invisibles, puis simuler AZ frappez les événements en utilisant JavaScript ", a écrit Grossman. "Lorsque les données sont remplies, elles sont remplies automatiquement, elles peuvent être consultées et envoyées à l'attaquant."

Le code de validation d'une attaque a été publié sur le blog de Robert Hansen, PDG de SecTheory. a également posté une vidéo de l'attaque sur son blog.

Pour une raison quelconque, les données commençant par des nombres ne peupleront pas les champs de texte et ne pourront pas être obtenues. »Pourtant, de telles attaques pourraient être distribuées facilement et à moindre coût. en utilisant un réseau de publicité où personne ne remarquerait probablement parce que ce n'est pas un code d'exploitation conçu pour fournir la charge utile rootkit ", écrit Grossman.

" En fait, il n'y a aucune garantie que cela n'ait pas déjà eu lieu ". Il est sûr de dire que cette vulnérabilité est tellement simple que j'ai supposé que quelqu'un d'autre l'avait déjà publiquement signalé, mais des recherches exhaustives et de demander à plusieurs collègues n'ont rien révélé. "

Grossman a signalé le problème à Apple le 17 juin. mais il n'a pas encore reçu de réponse personnalisée.

Pour éviter cela, Sue, les utilisateurs peuvent simplement désactiver les formulaires Web AutoFill, at-il écrit.

Envoyer des conseils et des commentaires à [email protected]

Une étude de groupe de l'UE révèle que les logiciels publics sont exclus des marchés publics. > Alors que la Commission européenne rédige des lignes directrices exhortant les services gouvernementaux de l'Union européenne à choisir des logiciels basés sur des standards ouverts, une étude publiée mercredi montre qu'un quart des appels d'offres récents ont exclu les logiciels ouverts en faveur des éditeurs de logiciels tels que Microsoft.

Une étude de groupe de l'UE révèle que les logiciels publics sont exclus des marchés publics. > Alors que la Commission européenne rédige des lignes directrices exhortant les services gouvernementaux de l'Union européenne à choisir des logiciels basés sur des standards ouverts, une étude publiée mercredi montre qu'un quart des appels d'offres récents ont exclu les logiciels ouverts en faveur des éditeurs de logiciels tels que Microsoft.

OpenForum Europe (OFE), un groupe de commerce qui répertorie IBM et Google parmi ses membres, a examiné 136 appels d'offres récents émanant de bureaux gouvernementaux des 27 pays membres de l'UE. "Les autorités publiques ne sont pas seulement accusées de gaspiller des milliards par des achats inefficaces, mais aussi de verrouiller leurs utilisateurs et leurs citoyens dans les solutions d'aujourd'hui et d'être »Graham Graham, directeur général d'OFE

Les applications mobiles doivent divulguer les pratiques de confidentialité,

Les développeurs d'applications mobiles doivent fournir aux utilisateurs des informations en temps réel sur les informations personnelles collectées.

Les applications mobiles doivent divulguer les pratiques de confidentialité, </ div> <p> Les développeurs d'applications mobiles doivent fournir aux utilisateurs des informations en temps réel sur les informations personnelles collectées.

Les développeurs d'applications mobiles doivent fournir des informations en temps réel aux utilisateurs sur les informations personnelles qu'ils collectent et obtenir la permission de collecter des informations sensibles, a recommandé la Federal Trade Commission des États-Unis.

La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques

La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques

En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.