Функция автозаполнения в обозревателе Safari все еще уязвима

В июле сего года была обнаружена ошибка безопасности в Интернет-обозревателе Apple Safari; проблема касалась функции автозаполнения полей в онлайн-формах. Apple выпустила обновление до версии 5.0.1, которое должно было исправить ошибку, однако основатель WhiteHat Security Джеремиа Гроссман утверждает, что уязвимость все еще существует и по-прежнему опасна.



Исследователь написал в своем блоге, что вновь выявленный им недочет - незначительно измененный вариант исходной ошибки в системе автозаполнения, позволявшей вредоносным ресурсам без ведома и согласия пользователя извлекать хранящуюся в ней персональную информацию. При этом данные для автозаполнения могли быть сохранены для нужд совершенно другого сайта - на успешность атаки это никак не влияло.


Новая версия эксплойт-кода работает не абсолютно автоматически, как предыдущая, но взломщику требуется всего лишь задействовать немного знаний из области социальной инженерии, чтобы заставить неосторожного пользователя выдать личные сведения о себе. Сообщение из первоисточника гласит, что автозаполнение в Safari полностью активизируется при вводе первой буквы в любое поле, для которого доступна сохраненная информация; иными словами, для извлечения всего объема данных может быть достаточным определить возможное местонахождение пользователя по его IP и обманом вынудить его ввести первую букву из названия страны, где он находится.


Г-н Гроссман по-прежнему рекомендует при использовании обозревателя Safari полностью отключать автозаполнение форм, чтобы защититься от подобной атаки. Сделать это можно в настройках программы, в подменю "AutoFill" ("Автозаполнение") сняв отметки со всех трех доступных возможностей по хранению данных.


Более подробная информация доступна в блоге-первоисточнике.


PC World

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Пагубная привычка банков может привести к потере средств россиян

У сотрудников российских банков была отмечена одна пагубная привычка — запрашивать у клиентов коды, которые были отправлены им посредством SMS-сообщений. Обычно такой подход используется для дополнительной аутентификации. Однако эксперты в области безопасности бьют тревогу: это может привести к краже средств россиян.

Сотрудники издания «Ъ» проконсультировались с ведущими специалистами в области безопасности, которые рассказали, что в последнее время у российских банков наблюдается неправильная тенденция узнавать у клиентов короткие коды из SMS-сообщений.

«Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма», — отмечает управляющий партнер экспертной группы Veta Илья Жарский.

«Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».

При этом эксперты напоминают, как ловко мошенники могут подделывать номера телефонов, с которых происходит вызов клиента кредитной организации.

В этом случае речь идет о кодах, которые банки считают нужным использовать для подтверждения личности владельца счета. Они несколько отличаются от тех, которые приходят для подтверждения трансакций (их вообще никому нельзя называть).

Однако здесь свою роль может сыграть человеческий фактор и шаблон, который сформируется за определенное время. В результате клиент банка может где-нибудь не досмотреть, назвав звонящему мошеннику код.

В связи с этим эксперты предупреждают: будьте как можно более внимательны и постоянно проверяйте поступающую информацию.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru