Safari-selaimesta löytyi helppo haavoittuvuus
Kuva: Niko Jylhä
24.7.2010 10:43 Tutkija löysi "todella yksinkertaisen" haavoittuvuuden Applen Safari-selaimesta ja julkaisi esimerkkikoodin internetissä.
Mac-käyttäjän osoitekirjan henkilökohtaiset tiedot ovat vaarassa, hälyttää tutkija Jeremiah Grossman WhiteHat Securitysta. Safari-selaimen versiot 4 ja 5 sisältävät haavoittuvuuden verkkolomakkeita automaattisesti täydentävässä AutoFill-toiminnossa.
Hyökkääjä voisi luoda verkkosivun, joka onkii käyttäjän tiedot huomaamatta Mac OS X -käyttöjärjestelmän osoitekirjasta JavaScript-koodin avulla. Näihin tietoihin sisältyvät esimerkiksi nimi, työpaikka, kaupunki ja sähköpostiosoite.
Hyväksikäyttö on mahdollista, vaikka käyttäjä ei olisi koskaan kirjoittanut tietoja yhdellekään verkkosivulle, Grossman korostaa blogissaan.
– Tämä haavoittuvuus on niin yksinkertainen, että oletin jonkun toisen kertoneen siitä jo julkisesti. Mutta lukuisat etsinnät ja kyselyt tuottivat vesiperän, Grossman kirjoittaa.
Puhelinnumerot
eivät vuoda
Jeremiah Grossman on tehnyt haavoittuvuuden todentavan esimerkkikoodin, jonka julkaisi verkossa hänen pitkäaikainen kollegansa Robert Hansen. Heidät muistetaan muun muassa niin sanotun clickjackin-vaaran esille nostamisesta.
Grossmanin mukaan ei ole takeita, etteikö Safarin aukkoa olisi jo voitu hyväksikäyttää hyökkäyksissä. Myönteistä on, että jostain syystä osoitekirjan numerolliset tiedot, kuten puhelinnumerot, eivät voi vuotaa haavoittuvuuden kautta.
Tutkija päätti julkistaa tietonsa sen jälkeen, kun Apple näytti suhtautuvan välinpitämättömästi hänen 17. kesäkuuta lähettämäänsä tiedonantoon. Haavoittuvuudelta voi suojautua kytkemällä AutoFill-toiminnon pois päältä.
Laajempi
ongelma
Hyökkäys ei toimi Applen iPadissa, iPhonessa tai iPodissa. Grossman kuitenkin epäilee, että aukko ei koskisi vain Safaria, vaan olisi laajempi WebKit-selainmoottoria koskeva ongelma. Hän veikkaa, että Google Chromen vanhemmat versiot saattavat kärsiä samasta haavoittuvuudesta.
Lisäksi samankaltainen haavoittuvuus on hänen mukaansa myös Microsoftin Internet Explorer -selaimen vanhoissa versioissa 6 ja 7, The Register -lehti kertoo.
Tutkija Jeremiah Grossmanin on määrä paljastaa ensi viikolla myös Firefoxin ja Chromen haavoittuvuuksia, jotka vaarantavat salasanat. Hän pitää esitelmän Las Vegasin Black Hat -hakkeritapaamisessa.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 15:28 Syksyn demoparty syöksyy avaruuteen
- 13:52 Metsäjätti vaihtaa Fujitsun Logicaan
- 13:51 Sonera innostui jääkiekosta
- 13:47 Nokialla on N8-puhelimessa paljon pelissä
- 12:33 Vodafone lähtee Kiinasta
- 12:05 Digita alkaa kampittaa PlusTV:tä
- 10:38 Lindén tahtoo identiteettivarkaat kuriin
- 7.9. HP ei hyväksy Hurdin loikkausta Oracleen
- 7.9. Mikrofonit saavat lisää aikaa 700-taajuudella
- 7.9. Verkkokauppa.com sai kaupan konkarin hallitukseen
- 7.9. Craigslist pisti seksimainokset pannaan
- 7.9. Sony nujertaa PS3:n murtajia
- 7.9. Apple marssittaa joukkonsa mobiilimessuille
- 7.9. Seksikohun ryvettämä nousee Oraclen johtoon
- 7.9. Motorola mollaa taas Applea
- 7.9. Mato tunki sisään Facebookin porsaanreiästä
- 7.9. Elisa osti yksinoikeuden Voddleriin
- 7.9. Nokia lobbaa nollaveroa
- 6.9. BBC: Buzz-oikeudenkäynti kävi Googlelle kalliiksi
- 6.9. Nokian uusi valloitus: Pamela Anderson
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 7.9. Mato tunki sisään Facebookin porsaanreiästä
- 6.9. Nokian uusi valloitus: Pamela Anderson
- 6.9. Facebook testaa urkintanappia
- 7.9. Motorola mollaa taas Applea
- 7.9. Verkkokauppa.com sai kaupan konkarin hallitukseen
- 6.9. Saksalaisyhtiö julkisti Meego-tabletin
- 13:47 Nokialla on N8-puhelimessa paljon pelissä
- 7.9. Elisa osti yksinoikeuden Voddleriin
- 7.9. Nokia lobbaa nollaveroa
- 7.9. Sony nujertaa PS3:n murtajia
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 6.9. Nokian uusi valloitus: Pamela Anderson
- 13:47 Nokialla on N8-puhelimessa paljon pelissä
- 6.9. Saksalaisyhtiö julkisti Meego-tabletin
- 7.9. Motorola mollaa taas Applea
- 6.9. Facebook testaa urkintanappia
- 6.9. Apple musiikkiyhteisö rikkoi miljoonarajan
- 7.9. Nokia lobbaa nollaveroa
- 7.9. Elisa osti yksinoikeuden Voddleriin
- 7.9. Mato tunki sisään Facebookin porsaanreiästä
- 7.9. Verkkokauppa.com sai kaupan konkarin hallitukseen
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- Lindén tahtoo identiteettivarkaat kuriin 10:38
- Sony nujertaa PS3:n murtajia 14:21
- Mato tunki sisään Facebookin porsaanreiästä 10:16
- BBC: Buzz-oikeudenkäynti kävi Googlelle kalliiksi 16:33
- Google yksinkertaistaa yksityisyyttä 14:00
- Facebook testaa urkintanappia 12:20
- Googlen pääjohtajaa pilkataan jättiruudulla 13:45
- Roskaposti valtasi iTunesin yhteisöpalvelun 10:52
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Operaattorit etsivät peiliä alamäessä
08.09.2005 Suomen tietoliikennealan näkymät ovat synkkiä samaan aikaan kun tietopalveluyritysten meno paranee. Tietoliikennealakin uskoo tilanteen kehittyvän ensi vuonna positiiviisesti.
Taloussanomat
- Pomo huutaa – näin vastaat 12:27
- Ensi vuonna monessa perheessä tiukkenee 14:57
- Rehn: Lopettakaa kreikkalaisten pilkkaaminen 15:36
- Sinä maksat naapurin halvan lennon 06:01
- "Salaiset asuntohinnat pyörittävät huhumyllyä" 11:42
- Ikea-punk mullistaa työelämän 11:29
- Helsingin pörssi etenee Nokian johdolla 15:17
- Palkansaajien Lehto: Uusi kriisi ei uhkaa 13:07
- SAK: Kaikille suomalaisille ammattitutkinto 14:21
- Sijoitusrahastopääoma pienessä kasvussa 15:21
- » Taloussanomat.fi
Kommentit (62)
Eihän siellä Address Bookissa kukaan pidä muita kuin fakejä. Niillä on hyvä antaa tietoa internettiin urkijoille.
Luottamus Mr.Steve Paul Jobsia kohtaan on horjumaton ja hänen visionäärisiä kykyjä voi vain suuresti ihailla.
Kun ottaa huomioon että esimerkiksi Englannissa pankkitilin voi avata esimerkiksi näyttämällä maksettua kaasulaskua nimen ja asuinpaikan todisteena, niin tuo käyttäjän tietojen onkiminen on oikeasti tosi vaarallista.
Tosin tuo työpaikka tuntuu vähän oudolta, kysyykö OSX sitä jossain kohtaa vai mistä se on ongittavissa?
Siinä näet että miten helppoa kaikki on Mäkillä.
Kaikki on otettu huomioon niin ettei käyttäjän tarvitse tuskastua ja alkaa säätämään.
Aivan normaalihan tuo työpaikka osoitekirjassa on. Yleensä siinä ei kyllä lue työpaikka vaan yritys.
Siinä näet että miten helppoa kaikki on Mäkillä.
Kaikki on otettu huomioon niin ettei käyttäjän tarvitse tuskastua ja alkaa säätämään.
Olihan tuo sarkasmia.
Ihan kivat että tiedot on helppo syöttää, mutta ei ne saisi vuotaa noin helposti.
Samoin en oikein pidä siitä että jokainen softa mikä koneessa on pääsee noihin tietoihin käsiksi. Esimerkiksi miksi hitossa Safarin täytyy tietää että mitä olen syöttänyt Work tietoihin? Puhumattakaan jostain kolmannen osapuolen softasta.
Jos käyttäjä syöttää omiin tietoihinsa omat tiedot niin pankkitroijalaisilla ja spywarella tulee olemaan juhlapäivät kunhan OSX yleistyy tarpeeksi että niitä kannattaa tehdä.
Mutta ei tuon tason munausta olisi edes saanut olla niin valmissa tuottessa kun OSX.
Firefoxin kaltaisesta räpellyksestä tuon uskoisi, mutta Applen tuotteiden on tarkoitus olla laadukkaita. Tai ainakin niin Apple ja fanipojat minulle kertovat.