El Autorelleno de Safari puede permitir la obtención de datos personales sin nuestro permiso

El Autorelleno de Safari puede permitir la obtención de datos personales sin nuestro permiso
Facebook Twitter Flipboard E-mail

Safari tiene un problema de seguridad, un agujero, a partir del cual algunos de nuestros datos personales podrían ser obtenidos sin nuestro permiso a través de webs malintencionadas y creadas para tal uso.

Según ha publicado Jeremiah Grossman, CEO de Whitehat security, este problema lleva presente ya varias semanas en varios navegadores, pero hasta ahora nadie se había percatado de la situación.

Todo el problema está relacionado con la opción de Autorelleno de formularios web, que en Safari viene activada por defecto y que todos podéis encontrar en el panel de preferencias del navegador y en la pestaña Autorelleno. Al tener activada esta opción, Safari acude a nuestra Agenda para obtener nuestros datos personales e introducirlos en los formularios de las páginas web.

Aunque no se haya visitado esa web en concreto anteriormente, el problema persiste, porque en este caso los datos no se recuerdan de otras veces en las que los hayamos introducido, sino que se hace una extracción directa de lo que hemos introducido en nuestra Agenda.

Así, una página que fuese creada con intenciones sospechosas, un formulario invisble y algún otro código JavaScript, podría acceder a los siguientes datos personales: nombre, empresa en la que trabajas, ciudad, país y dirección de email.

La demostración del fallo de seguridad

Para demostrar tal problema, Grossman ha puesto a disposición de los usuarios una web que simula dicho proceso y que enlazamos al final de esta misma entrada. Utilizando Safari y accediendo a dicha web, una vez que pulsamos start podremos ver que los datos son adivinados en pocos segundos y con gran exactitud. Si por alguna razón no estás cómodo con hacer la prueba tú mismo, puedes ver un vídeo que Grossman publicó en su propio blog en el que demuestra el proceso.

Este problema de autorellenado está presente en Safari (4 y 5) en su versión para Mac OS X, por lo tanto, los usuarios de Windows no tienen de qué preocuparse sobre este problema. Los usuarios de Chrome y Firefox también están a salvo por ahora.

autofill.png

Lo más grave de toda esta situación es, quizás, el hecho de que Grossman se puso en contacto con Apple hace ya un mes para transmitirle el problema, y al no recibir respuesta alguna o parche que solucionara esta situación, decidió hacerlo público para todo el mundo.

Hablábamos esta misma semana en Genbeta de los planes de Mozilla y Google para "financiar, por decirlo de alguna manera, la búsqueda por parte de los propios usuarios de agujeros o bugs":https://www.genbeta.com/navegadores/mozilla-y-google-suben-su-oferta-y-pagan-3000-dolares-a-los-que-encuentren-bugs-importantes-en-su-software en sus sistemas. Decía en esa misma entrada que analistas de seguridad se encuentran muchas veces en un dilema, sobre si publicar lo encontrado o no, y en este caso Grossman ha tirado por la calle del medio.

No hace falta alarmarse, las posibilidades de encontrarse una web de este tipo no pueden ser muy altas, y menos en usuarios que conocen los entresijos de estos sistemas como algunos de los que nos leéis. De todas formas, y por seguridad, no estaría de más desactivar la casilla de Autorelleno de formularios web en vuestro Safari hasta nuevo aviso por parte de Apple.

Actualización: Los compañeros de AllThingsD recogen unas declaraciones oficiales de Apple en las que dicen que "nos tomamos muy en serio la seguridad y la privacidad. Conocemos los problemas de Safari y estamos trabajando en una solución"

Vía | "Jeremiah Grossman":http://jeremiahgrossman.blogspot.com/2010/07/i-know-who-your-name-where-you-work-and.html Enlace | "Web para probar el fallo":http://ha.ckers.org/weird/safari_autofill.html En Genbeta | "Mozilla y Google suben su oferta y pagan 3000 dólares a los que encuentren bugs importantes":https://www.genbeta.com/navegadores/mozilla-y-google-suben-su-oferta-y-pagan-3000-dolares-a-los-que-encuentren-bugs-importantes-en-su-software

Comentarios cerrados
Inicio