Dziura w bezpieczeństwie przeglądarki Safari firmy Apple

13 grudnia, 2013

W trakcie badań nad różnymi rodzajami szkodliwych programów dla systemu OS X firmy Apple eksperci z Kaspersky Lab natknęli się na poważny błąd w bezpieczeństwie przeglądarki internetowej Safari. Problem związany jest z funkcją pozwalającą na przywrócenie stron otwartych w poprzedniej sesji i pozwala szkodliwemu użytkownikowi na odczytanie danych uwierzytelniania użytkowników.

Safari, podobnie jak wiele innych przeglądarek, wyposażone jest w funkcję przywracania poprzedniej sesji. Innymi słowy, wszystkie strony, które były otwarte w poprzedniej sesji przeglądarki – nawet te, które wymagają uwierzytelniania – mogą zostać ponownie otwarte w kilku prostych krokach. Czy jest to wygodne? Oczywiście – szczególnie, gdy przeglądarka zawiesi się lub gdy zamkniemy jej okno przez przypadek. Czy jednak jest to bezpieczne? Niestety nie.

klp safari luka 02 big

Aby przeglądarka mogła wiedzieć, co było otwarte na końcu poprzedniej sesji, odpowiednie informacje muszą być gdzieś przechowywane. Oczywiście, dane takie powinny znajdować się w miejscu, które nie jest łatwo dostępne dla każdego i powinny być zaszyfrowane.

Safari jednak nie szyfruje tych informacji, a do tego przechowuje je w pliku LastSession.plist (jest to typowy format plików dla systemu OS X), który bez problemu każdy może otworzyć. W wyniku tego każdy może bez kłopotu przejrzeć dane użytkownika związane z uwierzytelnianiem.

W Safari dostępna jest funkcja „Otwórz wszystkie okna z ostatniej sesji”, która pozwala na odzyskanie stron aktywnych przed poprzednim zamknięciem przeglądarki – strony są otwierane w takim samym stanie, w jakim znajdowały się w poprzedniej sesji. To właśnie ta funkcja wykorzystuje dane z pliku LastSession.plist. Mechanizm ten jest dostępny w następujących wersjach Safari dla systemu OS X:

  • OS X 10.8.5, Safari 6.0.5 (8536.30.1),
  • OS X 10.7.5, Safari 6.0.5 (7536.30.1).

Nietrudno wyobrazić sobie konsekwencje powstania szkodliwego programu uzyskującego dostęp do pliku LastSession.plist w systemie, w którym użytkownik loguje się do Facebooka, Gmaila, Twittera, kont bankowych i innych serwisów online” – mówi Wiaczesław Zakorzewski, ekspert z Kaspersky Lab. „Naszym zdaniem przechowywanie takich danych w niezaszyfrowanym, ogólnie dostępnym pliku jest poważną luką w bezpieczeństwie, która daje cyberprzestępcom duże możliwości łatwego uzyskania danych uwierzytelniających użytkowników”.

Eksperci z Kaspersky Lab poinformowali już firmę Apple o wykrytym problemie.

źródło: Kaspersky Lab

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]