Peretasan Peramban Safari Mengungkapkan Kekhawatiran Keamanan Pengisian Otomatis

Peneliti keamanan telah mengungkapkan kelemahan di browser Web Safari Apple yang dapat dimanfaatkan oleh penyerang untuk mengekstrak informasi pribadi yang sensitif. Kerentanan Safari sedikit lebih parah, tetapi masalah ini menggambarkan masalah privasi dan keamanan yang mendasarinya dengan IsiOtomatis pada umumnya.

Jeremiah Grossman, pendiri dan CTO WhiteHat Security, melaporkan bahwa mungkin bagi penyerang untuk menggunakan formulir Web berbahaya menyebabkan Safari memuat informasi sensitif seperti nama, alamat, atau alamat e-mail dari informasi yang disimpan di Apple Address Book. Masalahnya adalah fungsi opsi untuk mengisi formulir "Menggunakan info dari kartu Buku Alamat saya," yang dicentang secara default di Safari.

Grossman menunjukkan bahwa masalah ini memengaruhi semua browser yang dibuat di mesin WebKit sumber terbuka-- termasuk Safari pada Mac OS X dan iOS, serta browser Google Chrome. Namun, proof-of-concept tidak berfungsi pada versi terbaru Chrome, dan membutuhkan campur tangan pengguna untuk bekerja di iOS.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Keuntungannya adalah bahwa celah keamanan ini tampaknya terbatas - kurang lebih - ke browser Web Safari yang berjalan di Mac OS X. Namun, karena Mac OS X hanya menyumbang sekitar lima persen dari pasar sistem operasi, dan tidak semua pengguna Mac OS X mengandalkan di Safari untuk menjelajahi Web, masalah ini memiliki dampak potensial yang relatif kecil.

Grossman menunjukkan di pos blognya di Safari AutoFill hack, perbedaan antara kemampuan IsiOtomatis dari browser atau sistem operasi lain, dan masalah khusus ini adalah bahwa Safari akan menyerahkan data sensitif kepada penyerang yang menggunakan situs Web berbahaya "bahkan jika mereka belum pernah ke sana sebelum atau memasukkan informasi pribadi apa pun."

Fakta bahwa peretasan Safari dapat mengungkapkan informasi yang sebelumnya tidak diketik ke dalam bidang yang diberikan membuatnya menjadi iss yang lebih serius ue, tetapi kenyataannya adalah bahwa semua fitur IsiOtomatis di seluruh browser dan sistem operasi mewakili masalah keamanan dan privasi pada level tertentu. IsiOtomatis adalah fitur yang memerlukan pertukaran keamanan dan privasi demi kenyamanan.

IsiOtomatis dirancang untuk membuat hidup lebih sederhana dengan menyimpan informasi sehingga dapat dimasukkan secara otomatis pada saat berikutnya diperlukan. Hal ini paling sering ditemui dengan data formulir di mana pengguna mengisi bidang seperti nama, alamat, nomor telepon, alamat e-mail, dll. Setelah data disimpan dalam Pengisian Otomatis, waktu berikutnya bidang formulir serupa ditemui cukup dengan mengklik pada bidang akan mengungkapkan daftar entri yang disimpan di IsiOtomatis, atau mulai mengetik akan mengisi entri dengan informasi dari IsiOtomatis yang cocok dengan apa yang sedang diketik.

Dengan cara yang sama dengan apa yang Grossman gunakan untuk mengekstrak informasi menggunakan peretasan AutoFill Safari, penyerang juga dapat mengekstrak informasi yang disimpan pengguna dalam fitur IsiOtomatis dengan membuat formulir Web berbahaya dengan bidang umum dan secara tidak terlihat menguji setiap huruf abjad untuk melihat entri IsiOtomatis apa.

Pengisian Otomatis juga dapat mengungkapkan informasi sensitif di cara lain juga. Fitur IsiOtomatis dari bilah alamat peramban Web dapat mengungkapkan URL yang telah dikunjungi, dan fitur IsiOtomatis di program seperti Microsoft Excel dapat mengekspos data atau informasi yang sebelumnya telah dimasukkan di bidang lain.

Saya tidak menyarankan bahwa semua orang mengabaikan IsiOtomatis dan kembali mengetik dengan tegang dalam informasi yang sama setiap kali diperlukan. Saya, bagaimanapun, menganjurkan bahwa admin dan pengguna IT secara umum memahami bahwa fitur yang sama yang memberikan kemudahan bagi pengguna juga membuatnya lebih nyaman bagi penyerang untuk melanggar atau kompromi data yang tersimpan di sana.

Anda dapat mengikuti Tony pada Halaman Facebook, atau hubungi dia melalui email di [email protected]. Dia juga tweet sebagai @Tony_BradleyPCW.