🎉 Estamos de vuelta! Después de 7 años sin estar en línea, MarlexSystems ha regresado • Lee más aquí
Marlex Systems

Grave fallo de Safari permite obtener información sensible

Por Patrick D'appollonio
Publicado el 24 de julio del 2010
2 minutos de lectura • 299 palabras

Este artículo está probablemente obsoleto

Este artículo fue publicado hace más de 10 años (el 24 de julio del 2010, para ser exactos). La información contenida puede estar muy desactualizada o ya no ser relevante.

El artículo existe como archivo de este sitio y de la antigüedad del mismo. Este blog existe en el Internet desde el 2007!

Algunos o todos los enlaces de este artículo pueden haber sido removidos o estar rotos debido a la antigüedad del mismo. Te pedimos las disculpas por cualquier inconveniente que esto pueda causar.

Jeremiah Grossman, CEO de WhiteHat Security ha encontrado un grave fallo de Safari para Mac OS X que permitiría simplemente teniendo una página web abierta que se pueda obtener todos y cada uno de los datos que Mac OS X almacena en la Libreta de Direcciones integrada en Mac OS X utilizando el sistema de relleno automático de campos que Safari posee como Opción.

Autorrelleno Safari fallo de Seguridad

Grossman además colgó en internet una prueba de concepto que demuestra el fallo producido y aún así cuando el usuario nunca haya usado Safari, los datos se obtienen de manera automática desde la Libreta de Direcciones incluida y, por lo mismo, se presenta como un gran fallo puesto que basta una simple ventana abierta o, incluso, un iframe que no se vea, y que cargue una dirección como la prueba de concepto, para obtener todos los datos del usuario, incluyendo Correo Electrónico, Nombre completo y Direcciones.

Prueba de Concepto del Fallo en Safari

También podría utilizarse para obtener números telefónicos y otros datos entregados durante la activación del Equipo Macintosh simplemente modificando un poco la prueba de concepto de Grossman.

Respecto de la solución, por el momento, está en que desactives la opción de relleno automático ubicada en “Safari”, luego “Preferencias”, y allí selecciona la pestaña “Autorrelleno”. Dentro de ella hay dos opciones activas por defecto, que son “Usar la Información de mi Tarjeta de Agenda” y “Otros Formularios”. Bastará con que desactives la primera para que no se puedan obtener tus datos.

Grossman indica además que la cuota de mercado de Safari alcanza unos 83 millones de usuarios aproximadamente, por lo que activar esta prueba de concepto en un sitio de alto número de usuarios de Safari en Mac de seguro terminarían obteniendo miles de datos para publicidad basura u otros fines.

Más Información |Blog de Jeremiah Grossman, Prueba de Concepto