Beveiligingslek in Apple Safari browser

In de Safari browser van Apple is een beveiligingslek ontdekt dat door kwaadwillenden kan worden misbruikt om persoonlijke gegevens te achterhalen. De Safari browser heeft een handige optie waarmee je web formulieren automatisch kan laten invullen met gegevens uit je adresboek en de optie die de gebruikersnamen en wachtwoorden automatisch voor je invult. Dat is handig maar je kan dat op dit moment beter even uitvinken. Hackers kunnen door deze optie namelijk ook eenvoudig je persoonlijke gegevens achterhalen inclusief je naam en e-mail adres.

Als je klikt op Safari, Voorkeuren en vervolgens de optie Formulieren kist zie je de onderstaande opties:

Jeremiah Grossma een expert in beveiliging heeft dit ontdekt. In zowel Safari 4 als 5 staan deze opties standaard aangevinkt. Hackers kunnen eenvoudig gebruik maken van de “AutoFill web forms” optie door via een JavaScriptje persoonlijke gegevens uit het adresboek van een Mac gebruiker downloaden. Het duurt slechts enkele seconden om de gegevens te downloaden en de informatie kan worden misbruikt voor e-mail spam of een phishing aanval. Persoonlijke gegevens die starten met getallen zoals een telefoonnummer kunnen niet worden gedownload omdat de hack alleen werkt als het eerste karakter een letter (A-Z) is uit het alfabet.

Grossman heeft het lek op 17 juni aan Apple gemeld maar nog geen reactie ontvangen uit Cupertino. Daarom maakt hij het lek nu openbaar zodat Mac gebruikers de functie kunnen uitschakelen.

Bron: AppleInsider