Om du använder autocomplete funktionerna i Safari, vissa versioner av IE, Firefox eller Chrome, kan du vara göra dig sårbar för identitetsstöld och andra attacker, enligt en säkerhetsforskare planerad att tala på Black Hat konferensen nästa vecka. White Hat Security CTO Jeremiah Grossman säger att de fyra stora webbläsarna har kritiska svagheter som ännu inte tas upp av deras respektive företag, och kan utsätta användarnas lösenord, e-postadresser, och mer till angripare. Omdömen
Grossman planerar att demo en proof-of-concept attack vid nästa veckas konferens.
Som de flesta av oss vet, om du har Komplettera automatiskt aktiverat i många webbläsare, du måste bara börja skriva en bokstav eller två i ett av fälten innan de alla fyller i med ditt namn och adress, möjligen ditt kreditkortsnummer, och mer . Grossman säger angripare kan enkelt skapa en sida med dolda formulärfält som använder JavaScript för att skriva bokstäver och siffror i varje fält tills den hittar en som är en hit, och webbläsaren autocompletes det.
Omdömen
Användarna behöver inte ens ange en enda bokstav för attacken till arbets allt de behöver göra är att ladda sidan, och de sannolikt skulle inte ens vara medvetna om vad som händer. Omdömen
Enligt Grossman, Komplettera automatiskt utnyttja verk i två De senaste versionerna av Safari (4 och 5), samt IE 6 och 7.
Firefox och Chrome är inte mottagliga för denna attack, att de var utsatta för en annan: Grossman säger att de två webbläsarna kan avslöja lagrade användarnamn och lösenord för sparade platser, vilket gör det möjligt för en cross-site scripting sårbar att ta tag i information när en användare loggar in ett Google-konto eller Facebook, till exempel. Omdömen
Anledningen till att han planerar att avslöja dessa sårbarheter på Black Hat beror på att företagen i fråga har uppenbarligen inte svarat på Grossmans försök att kontakta dem om det.
"Jag skulle aldrig ha talat om detta offentligt om Apple hade tagit detta på allvar," Grossman sade Registret. "Jag tänkte att någon annan måste ha tyckte att det här tidigare eftersom det är så hjärndöd enkelt." När han skickade en uppföljande fråga "Jag har aldrig hört något tillbaka, människa eller robot.
" Omdömen