Il Riempimento automatico di Safari mette a rischio le info personali

| 23 luglio 2010 | 0 commenti

Alcuni esperti di sicurezza informatica hanno scoperto che la comoda funzione Riempimento automatico di Safari può rivelare le informazioni personali di un utente a un sito Web.

L’opzione Riempimento automatico è abilitata di default e permette di compilare i moduli Web con il proprio nome, indirizzo e-mail, indirizzo di casa o dell’ufficio, numero di telefono, e altri dettagli memorizzati nella scheda personale di Rubrica Indirizzi  (si possono trovare queste opzioni in Safari/Preferenze/Riempimento automatico). Iniziando a digitare le prime due lettere del proprio nome, o il primo numero del proprio numero di telefono, Safari automaticamente compila il resto per aiutarvi a completare il modulo più rapidamente.

Come riportato da InformationWeek, Jeremiah Grossman, fondatore e CTO di WhiteHat Security, ha descritto sul suo blog come un pirata informatico potrebbe sfruttare la funzione Riempimento automatico di Safari. Grossman è famoso nel campo della sicurezza informatica per aver individuato numerose vulnerabilità di altri browser, come “clickjacking” nel 2008. Un collega di Grossman, Robert Hansen, ha pubblicato un innocuo sito proof-of-concept che mostra come può essere sfruttato il bag.

In pratica, una pagina Web appositamente modificata può scorrere le lettere e numeri in ogni campo di testo fino a quando non fa scattare automaticamente la funzione Riempimento automatico di Safari. Il modulo può essere inviato automaticamente a un hacker e le informazioni essere vendute agli spammer e sfruttate per altri scopi.

Grossman attribuisce il difetto al WebKit, il motore open source in dotazione con la versione di Safari per Mac e per i dispositivi iOS, così come il browser Chrome di Google e altri dispositivi mobili. Tuttavia, il sito proof-of-concept di Hansen non sembra funzionare con la versione più recente di Chrome, probabilmente perchè non utilizza la Rubrica Indirizzi di Apple per il riempimento automatico, come invece fa Safari. Anche Safari mobile sembra immune, ma solo perchè la funzione Riempimento automatico non è abilitata di default.

Fortunatamente, esiste un modo semplice per difendersi da questa falla: si può semplicemente disattivare l’opzione “Utilizza informazioni della mai Rubrica Indirizzi” nel pannello “Riempimento automatico” delle preferenze.

Riempimento autmatico.jpg

Grossman ha precisato sul suo blog di aver avvisato Apple della falla individuata nella funzione Riempimento automatico il 17 giugno scorso. Finora, tutto quello che ha ricevuto è una risposta automatica.

Tag: , , , ,

Argomento: Senza categoria

Aggiungi un commento