Safari tiene un problema de seguridad, un agujero, a partir del cual algunos de nuestros datos personales podrían ser obtenidos sin nuestro permiso a través de webs malintencionadas y creadas para tal uso.
Según ha publicado Jeremiah Grossman, CEO de Whitehat security, este problema lleva presente ya varias semanas en varios navegadores, pero hasta ahora nadie se había percatado de la situación.
Todo el problema está relacionado con la opción de Autorelleno de formularios web, que en Safari viene activada por defecto y que todos podéis encontrar en el panel de preferencias del navegador y en la pestaña Autorelleno. Al tener activada esta opción, Safari acude a nuestra Agenda para obtener nuestros datos personales e introducirlos en los formularios de las páginas web.
Aunque no se haya visitado esa web en concreto anteriormente, el problema persiste, porque en este caso los datos no se recuerdan de otras veces en las que los hayamos introducido, sino que se hace una extracción directa de lo que hemos introducido en nuestra Agenda.
Así, una página que fuese creada con intenciones sospechosas, un formulario invisble y algún otro código JavaScript, podría acceder a los siguientes datos personales: nombre, empresa en la que trabajas, ciudad, país y dirección de email.
La demostración del fallo de seguridad
Para demostrar tal problema, Grossman ha puesto a disposición de los usuarios una web que simula dicho proceso y que enlazamos al final de esta misma entrada. Utilizando Safari y accediendo a dicha web, una vez que pulsamos start podremos ver que los datos son adivinados en pocos segundos y con gran exactitud. Si por alguna razón no estás cómodo con hacer la prueba tú mismo, puedes ver un vídeo que Grossman publicó en su propio blog en el que demuestra el proceso.
Este problema de autorellenado está presente en Safari (4 y 5) en su versión para Mac OS X, por lo tanto, los usuarios de Windows no tienen de qué preocuparse sobre este problema. Los usuarios de Chrome y Firefox también están a salvo por ahora.
Lo más grave de toda esta situación es, quizás, el hecho de que Grossman se puso en contacto con Apple hace ya un mes para transmitirle el problema, y al no recibir respuesta alguna o parche que solucionara esta situación, decidió hacerlo público para todo el mundo.
Hablábamos esta misma semana en Genbeta de los planes de Mozilla y Google para "financiar, por decirlo de alguna manera, la búsqueda por parte de los propios usuarios de agujeros o bugs":https://www.genbeta.com/navegadores/mozilla-y-google-suben-su-oferta-y-pagan-3000-dolares-a-los-que-encuentren-bugs-importantes-en-su-software en sus sistemas. Decía en esa misma entrada que analistas de seguridad se encuentran muchas veces en un dilema, sobre si publicar lo encontrado o no, y en este caso Grossman ha tirado por la calle del medio.
No hace falta alarmarse, las posibilidades de encontrarse una web de este tipo no pueden ser muy altas, y menos en usuarios que conocen los entresijos de estos sistemas como algunos de los que nos leéis. De todas formas, y por seguridad, no estaría de más desactivar la casilla de Autorelleno de formularios web en vuestro Safari hasta nuevo aviso por parte de Apple.
Actualización: Los compañeros de AllThingsD recogen unas declaraciones oficiales de Apple en las que dicen que "nos tomamos muy en serio la seguridad y la privacidad. Conocemos los problemas de Safari y estamos trabajando en una solución"
Vía | "Jeremiah Grossman":http://jeremiahgrossman.blogspot.com/2010/07/i-know-who-your-name-where-you-work-and.html Enlace | "Web para probar el fallo":http://ha.ckers.org/weird/safari_autofill.html En Genbeta | "Mozilla y Google suben su oferta y pagan 3000 dólares a los que encuentren bugs importantes":https://www.genbeta.com/navegadores/mozilla-y-google-suben-su-oferta-y-pagan-3000-dolares-a-los-que-encuentren-bugs-importantes-en-su-software
Ver 28 comentarios
28 comentarios
Pedro
Mañana en GenBeta: "No solo Safari tiene problemas de seguridad..."
Pssss, ¿Pues no decian que era tan "seguro" porque no tenia virus?
A día de hoy los virus me preocupan mucho menos que los problemas de seguridad que ponen en peligro mis datos personales y/o bancarios, de los cuales ya van varios de Apple este mes.
logoff
el problema no son los virus solamente como muchos dicen. es el pishing y el bajarse cualquier cosa y darle a next, next, next y tira pa lante. hay que tener cuidado, con los datos importantes y con los que parece que no lo son tanto.
lesan
Cuidado con Chrome, Chromium (de ayer o antes) y Safari en Windows. Chrome en Linux también esta afectado, así que es cosa de WEBKIT. Bueno, y STEAM, tambien comprobado, ya que usa WEBKIT.
Lo mejor es quitar lo de los formularios y borrar los datos que contengan.
ejner69
Por eso nunca uso el autorrellenado de formularios... ni tampoco nada del mundo Apple. Ya deben estar con infarto los fanboys.
sambar
Me parece una LOCURA y una gran IRRESPONSABILIDAD guardar datos personales en el navegador de interner teniendo en cuenta que cada poco tiempo salen nuevas fallas y hay webmasters con demasiada picaresca.
Allá cada cual con su intimidad.
Saludos.
Renato
Hay algunas partes del articulo que de confunden un poco, quizás sea que es muy pronto o algo (antes de las 10 no soy persona).
El problema lo tiene solo Safari? Webkit? todos? algunos? Yo no se en Safari 5, pero en cuatro estas opciones de autorelleno me vinieron desactivadas, aunque uso el relleno de usuarios y passwords, pero bueno, lo maximo que te pueden sacar es tu nombre, numero de telefono y dirección no?
samudelacruz
Vaya tela... cada dia me siento mas desencantado con la manzana, menos mal que no uso safari en mi macbook pro y ademas pocas veces uso Mac OS, paso mas tiempo en mi Debian Sid, mac os solo me vale para las presentaciones de cliente, cuando necesito administrar las maquinas remotamente lo hago desde Linux
populus
Una pregunta
¿Los que guardamos las contraseñas en el llavero estamos a salvo?