Safari có thể để lộ thông tin cá nhân

Một tính năng trong trình duyệt Safari giúp người dùng tự động điền form có thể bị tin tặc lạm dụng để “thu hoạch” thông tin cá nhân.

Tính năng AutoFill (tự động điền) của Safari được kích hoạt theo mặc định, sẽ điền những thông tin như họ tên, nơi làm việc, thành phố, địa chỉ e-mail khi nó nhận ra một biểu mẫu (form), ông Jeremiah Grossman, giám đốc công nghệ của WhiteHat Security đã viết trên blog của mình.

Thông tin được lấy ra từ sổ địa chỉ (Address Book) hệ điều hành (HĐH) cục bộ của Safari. Tính năng AutoFill sẽ kết xuất dữ liệu vào form ngay cả khi một người đã không nhập bất kỳ dữ liệu nào trên một trang web cụ thể, mở ra cơ hội cho tin tặc khai thác.

Mã chứng minh khái niệm cho một cuộc tấn công đã được công bố trên blog của ông Robert Hansen, CEO công ty SecTheory. Ông Grossman cũng đăng một đoạn video về cuộc tấn công trên blog của mình.

Ông Grossman đã báo cáo vấn đề trên cho Apple từ hôm 17/6/2010, nhưng ông vẫn chưa nhận được thư trả lời. Để tránh vấn đề này, người dùng chỉ cần vô hiệu hoá tùy chọn AutoFill Web forms (tự động điền các biểu mẫu web), ông Grossman cho biết.

Trở lại Công nghệTrở lại Công nghệ