BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Vulnerabilidad en Safari para Mac compromete datos personales

Luis

El navegador de Apple tiene un fallo grave de seguridad por el que una web malintencionada puede hacerse con nuestros datos personales sin nuestro consentimiento.

El agujero, que afecta a las versiones 4 y 5 de Safari, pone en riesgo potencial la privacidad de millones de usuarios, aquellos que usen este software bajo Mac OS X.

El error está en el auto-rellenado de formularios

Para ser vulnerables, hay que tener activada la opción de rellenar los formularios automáticamente desde la tarjeta de contacto del usuario en la Agenda de Mac OS X, ya que es precisamente esta función la que tiene el agujero.

safariautofill.png

Concretamente, Safari busca completar con los campos de formularios que nos piden el nombre, empresa para la que trabajamos, la ciudad y país donde residimos y el correo electrónico. Hay que saber que este proceso no tiene nada que ver con que el navegador guarde para sí mismo lo que hemos ido escribiendo nosotros en formularios y lo muestre a modo de sugerencia. Aquí Safari busca los datos en un programa externo a él (la Agenda), y no es necesario haberlos introducido previamente en otra web. Curiosamente, los números de teléfono no pueden ser "robados".

Por lo tanto, cualquier página malintencionada, con un formulario invisible y un código JavaScript que simulara pulsaciones en las teclas y que luego enviara la información que se autorellenaría, podría tener acceso a los datos personales de un usuario sin que él lo sepa. Como muestra, Jeremiah Grossman, jefe de tecnología de la firma de seguridad WhiteHat Security, nos enlaza una dirección para probar la vulnerabilidad. Para ello, tendremos que usar Safari en Mac OS X. Si no disponemos de estos requisitos, o no nos fiamos de esa web, podemos ver un vídeo al final de la entrada en su blog.

También se comenta que Chrome podría sufrir el mismo problema, o uno muy parecido. De confirmarse, el fallo podría estar el WebKit, el motor en el que se basan ambos navegadores, y no sería exclusivo de Safari. De todos modos, lo hemos puesto a prueba en el enlace anterior y no ha revelado ningún dato personal. Por otro lado, parece que en cualquier caso esto no afecta a ordenadores con Windows.

Volviendo a la noticia original, ante esta situación Apple no ha contestado de forma contundente después de que Grossman les notificara el fallo el pasado 17 de junio. Tras esperar más de un mes, se ha decidido a compartir la información y poner en alerta a los usuarios.

Mientras la empresa con sede en Cupertino actúa con un parche, la solución pasa por deshabilitar la función de auto-relleno de formularios.

💬 Comentarios

1
usuario-eliminado

Los cuatro navegadores mas usados por los internautas para desplazarse a través de internet tienen un severo problema de seguridad que filtra información sobre los hábitos de navegación del usuario, su nombre completo, dirección de correo electrónico, localización e incluso de contraseñas almacenadas según un investigador de seguridad.

En una charla que tendrá lugar la semana que viene en la Conferencia de Seguridad Black Hat en Las Vegas, Jeremiah Grossman, CTO de White Hat Security, planea mostrar una vulnerabilidad crítica en estos navegadores que son los cuatro con mas cuota de mercado.

Lo mas afectados son Safari y las primeras versiones de Internet Explorer. El problema radica en como se maneja la información personal en los formularios a completar en una página. Al visitar una página especialmente malformada, se pueden crear campos no visibles que incluyan o soliciten información como "Nombre", "Apellidos", "Dirección" o "Tarjeta de crédito" añadiendo un javascript que teclea algunas letras o números en busca de que se abra el desplegable de autocompletado y seleccionar la información pertinente.

Un usuario de Internet Explorer 6 ó 7 o de las versiones 4 y 5 de Safari, sin embargo, no puede evitar que esos campos se rellenen de forma automática y se envíen de vuelta al servidor sin dar su aprobación previa y si su interacción con el ordenador.

Jeremiah Grossman también ha mostrado dos vulnerabilidades en Firefox y Google Chrome en las que es posible robar las contraseñas usando el sistema de autocompletado de información de ambos navegadores además de una vulnerabilidad XSS en la web donde se almacena la contraseña.

Grossman también mostrará como un webmaster puede borrar todas las cookies de un ordenador debido al limite que tienen los navegadores en la admisión de estos pequeños fragmentos de código. En Firefox es de unas 3.000 y un poco mas de esa cantidad en otros navegadores. En este tipo de ataque, cuando se crean todas las nuevas cookies, las mas antiguas se borrar: a Grossman le costará borrar aproximadamente 2,5 segundos todas las cookies de un navegador, una prueba que mostrará en su próxima presentación.

Fuente: Faq-mac.com

🗨️ 5
Agron2k08

Has enlazado a otra noticia que viene a decir lo mismo que ha publicado Luis.

Espero ansioso esa demostración de Grossman y ver cuantos navegadores van a caer. Curiosamente las versiones viejas de IE, no solo tienen ese fallo, tienen mil más, pero no se dice nada de las versiones nuevas y es algo que me interesa saber (ya que si uso IE8) para cambiarme de navegador.

🗨️ 4
BocaDePez
BocaDePez
0

IE8 no tiene ese problema, de ahí que se omita mencionar al hablar del Explorer.

🗨️ 1
BocaDePez
BocaDePez
1

Creía que la noticia era de Safari en Mac...

usuario-eliminado
-1

claro, he enlazado porque no solo tiene ese problema safari

🗨️ 1
inar
0

Por mi parte, he probado en Windows XP y Windows 7 con Safari 5, y no se ha producido. Así como tampoco con Internet Explorer 8, ni Firefox 3.6, ni Opera 10, ni Chrome 5.0.

Según se comenta, podría afectar a versiones de Safari 4 ó 5 (¿sólo para Mac?) y antiguas de Internet Explorer (¿6 ó 7?, la 8 no por lo probado). Chrome para Mac parece que no se ve afectado (véanse comentarios de camPi y Luis).

Coruscant2
1

Tiene cullons que les hayan avisado a los de Apple hace un mes, y que todavía no han sacado un parche.

Está visto que actúan solo cuando hay actuación mediática de por medio, que pueda dañar su imagen... Muy mal.

Saludos

🗨️ 5
BocaDePez
BocaDePez
1

Esta noticia ha aparecido en varios medios serios excepto en el blog más conocido en castellano sobre el mundo Apple (applesfera). Ellos se dedican a mostrar un iPad modificado con controles de máquina tragaperra, aplicaciones de iPad para tener entretenidos a los hijos en verano, historia de los iconos para Mac... Es de vergüenza.

Es un claro reflejo de la importancia que le dan la gran mayoría de usuarios de Apple al tema de la seguridad. Tan preocupados por tener los equipos/programas más bonitos ("Cool") están cegados ante los problemas de seguridad de su sistema operativo y van echando pestes sobre Windows pensando que su sistema es infalible.

Cuando la cosa (debido al creciente éxito de su sistema) se ponga al nivel de Windows, veremos qué pasa. Tiempo al tiempo...

🗨️ 4
BocaDePez
BocaDePez
-2

No asumas que lo que dicen en Applesfera es lo que piensan todos los usuarios de Mac, cacho troll.

🗨️ 3
BocaDePez
BocaDePez
1

¿Cacho de troll? Madre mía, si sólo hay que pasarse por los foros de blogs relacionados con el mundo Apple para verlo con tus propios ojos... Es más, cuando alguien se queja de la situación (como hago yo en este caso) todo son votos negativos y pataletas por parte de otros usuarios a los que no les gusta que le saquen los defectos de su sistema...

Sólo hay que ver las noticias sobre Apple que publican en Applesfera y Xataka (del mismo weblog) y las respuestas de los usuarios...

Venga, quiero pruebas de que lo que digo es una "trolleada" o como se escriba...

🗨️ 2
XpeedMan

Es un claro reflejo de la importancia que le dan la gran mayoría de usuarios de Apple al tema de la seguridad.

Eso es decir por decir y detrás de esa frase no hay un razonamiento imparcial sino más bien diría yo una trolleada sin fundamento o para ser más moderado una falta de conocimiento del uso de este sistema. La gran mayoría de usuarios de CUALQUIER sistema operativo le dan poca importancia a la seguridad, más que nada porque desconocen cómo hacer sus sistemas seguros y no nos engañemos, no hay ningún sistema infalible, hay usuarios más lerdos que otros y de eso es de lo que se aprovechan los cacos.

En referencia a este fallo de seguridad de Safari una persona más o menos cuidadosa desde un principio no permite que el navegador guarde los datos que introduce en los formularios y una persona que pasa olímpicamente le dice que sí a todo.

Fallos de seguridad van a poder aparecer siempre en todos los sistemas y programas, ya es decisión de cada uno en qué sistema desea tenerlos, eso no hace a los que utilizan Mac o Windows o Linux mejores ni peores. He dicho. :P

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
0

Yo es que le compro al tito Steve porque sus productos son más seguros... XDDDDDDDDDDDDDDDDD

🗨️ 12
BocaDePez
BocaDePez
0

Además de fallo de Seguridad, el Iphone 4 se queda sin cobertura cuando lo coges con la mano. Vaya castaña de compañia que mete unas cagadas COMO UN PIANO!!!

Mis "Leuros" para MAC ni-de-coña!

🗨️ 9
BocaDePez
BocaDePez
-2

500€ vale el mini y menos. Trollaco, si no sabes al menos no hables, que pareces tontaco.

Y el iphone 4 no pierde cobertura, tienes mil vídeos con iphones 4 que no pierden cobertura, es un problema de una compañía de telefonía americana.

Puedes probar ese 'supuesto' agujero que no funciona, chaval.

Cuanta envidia hay en los gadgets y en hardware.

🗨️ 5
BocaDePez
BocaDePez

insultando pierdes toda credibilidad y mas cuando eres el unico que insulta a falta de argumentos.

BocaDePez
BocaDePez

"Querido" fanboy, el campo de distorsión de la realidad es fuerte contigo. Dos preguntas: ¿Cómo es que en la web de la manzana me cobran desde 792€ por un mini, los compras tú en el chino de la esquina? ¿Y cómo es eso de que sólo pierden cobertura con una compañía americana, es que diseñan una antena especial para cada proveedor?

Ahora puedes emprender la huida hacia adelante, y tratar de meter en el saco a todos los demás, aunque los fanboys como tú siempre hayáis defendido la "exclusividad", "mejor calidad" y "diferente manera de hacer las cosas" del tito Steve. Total, qué más da renegar de vuestros principios si se salva el tito Steve, alabado sea.

BocaDePez
BocaDePez

Por eso Apple afirma que es cierto el problema. Vamos, ellos se tiran piedras a su tejado porque les da gana.

Nice Troll

BocaDePez
BocaDePez
0

Si el problema es de la compañía. ¿Porque no hay reportes de otros teléfonos usando dicha compañía en la cual pierdan la cobertura según como lo cojas?

🗨️ 1
BocaDePez
BocaDePez
-2

Touche!

ezmac
0

no tendrás acciones de Google ? por que vamos, ya te recordaré cuando salgan los datos de devoluciones de iphone por este motivo, o como con una simple carcaza se resuelve el tema !!

porque no comentas nada sobre los 500.000 ordenadores que ha tenido que llamar a casa SONY..

pero claro hay que vender noticias (por supuesto publicidad)... ya existe al menos 20 móviles con OS android, oyes alguna noticia sobre ellos ?

porque nadie comenta algo acerca del Retina Display? fácil, porque ya no pueden decir el mío mejor !!!

comprar M-BENZ/BMW a precio de 600, va a ser que no !!! pero muchos se hacen la ilusión de que si se puede ....

🗨️ 2
BocaDePez
BocaDePez

comprar 600 a precio de M-BENZ/BMW, va a ser que tampoco !!! ^^

BocaDePez
BocaDePez
2

No, Apple en vez de llamar a casa los Iphone, lo que hace es responder que tiene que cogerlo de una forma determinada.

BocaDePez
BocaDePez
0

Es que Flash es inseguro... oh wait

besugo
-1

ZAS, en toda la boca para algunos :P

vukits
0

Es extraño que Apple no haya corregido ya este bug :-/

Por cierto, si la gente usara Lynx, no pasarían estas cosas :P

🗨️ 6
BocaDePez
BocaDePez
-5
🗨️ 5
BocaDePez
BocaDePez
campi
🗨️ 3
inar
🗨️ 2
campi
🗨️ 1
vukits
BocaDePez
BocaDePez

Yo tengo mac y pc, me voy con mac al 100% pero soy consciente de que no es tan seguro como dicen. Navego con firefox en mac porque me da mas confianza.

campi
4

Confirmo que el problema está solo en Safari puesto que he hecho el test tanto el Chrome para Mac como Safari y solo en este último aparecen mis datos personales.

Bueno, a decir verdad solo el nombre pero que hay más personal que el nombre ? xDD

🗨️ 1
Luis
4

A mí también me ha pillado todo lo que podía pillar en Safari: nombre y correo. Lo demás no lo tengo metido en la tarjeta de contacto. Como comento, en Chrome nada.

BocaDePez
BocaDePez
-1

Estaba claro...Ahora que mucha mas gente utiliza los MAC es cuando empiezan a aparecer los virus, las páginas malintencionadas y demás. No es la primera noticia que escucho sobre esto.

Os acordáis cuando decían que MAC no tenía virus ni nada por el estilo? que eso era solo de windows?

Claaaaaaroo que si...cuando antes solo 5 gaticos utilizaban MAC...para que molestarse en sacar troyanos y malware para esos 5 gaticos. Era mas fácil atacar a los 1.223.433.137.987.491 usuarios de windows.

A la hoguera con Apple !! Tan solo hay que esperar un par de años o tres para que la gente se de cuenta de que Apple solo vende por su diseño que entra por los ojos a los tonticos del pueblo.

🗨️ 8
BocaDePez
BocaDePez
1

Qué bien has empezado y qué mal has acabado...

campi

Me uno al Bocadepez... Que forma de cagarla. Tu fanatismo te ha delatado! xD

Igualmente no olvides que Mac siempre será algo más seguro por el tema este de los permisos que ningún usuario es administrador

🗨️ 2
BocaDePez
BocaDePez

Que sea mas seguro...no quiere decir que puedas hacer mas cosas campeón. Tu fanatismo te ha delatado xDDDD

BocaDePez
BocaDePez

¿Que ningún usuario es administrador? Juas. Mac OS X usa sudo para permitir que los usuarios no administradores realicen tareas de administración. Por tanto, eso de que ningún usuario es administrador no es cierto, poque de hecho pueden serlo todos (además de que el uso de sudo puede ser más inseguro que limitarse a usar una cuenta de usuario limitado y una de root).

ezmac

jajaja... cuando oigo este tipo de comentarios !!! por un agujerito , cuando en windows es directamente que el campo no tiene puertas :D

por diseño ? todo no es soldar un procesador, chipset, gráficas e tuti cuanti: si te fijas hay infinidad de pequeños detalles que lo hacen muy diferente !!

y el factor Sistema Operativo te lo has pasado por el forro del zapato !!!

si hay cada vez hay más usuarios que quieren usar un mac... por algo será !!! quieren cosas prácticas y que les funcionen desde que los sacan de la caja.. sin conocer las alegrías de borrar de tanto en tanto su disco duro, para recuperar esto !!

por cierto, seguro que no sabes que es, ni has probado un magic mouse... si diseño, pero puedes decir otro ratón que haga lo mismo ?

🗨️ 2
BocaDePez
BocaDePez
-1

Si tú no sabes administrar o gestionar un Windows eficientemente, que necesitas reinstalarlo cada poco, no es problema de Windows. En ese caso, sí, Mac es más apropiado para ti.

BocaDePez
BocaDePez

Si aun no te has dado cuenta "machote" de que la gente compra MAC por su diseño y por ser una alternativa a no usar Windows... en ese caso...

Compra compra.

BocaDePez
BocaDePez

madremia bokita pescao, deberias de ponerte a aprender un poco mas antes de soltar todas tus mierdas por esa boca sin saber de que hablas

BocaDePez
BocaDePez

A mi con la última versión de Midori (utiliza webkit) sí hace la búsqueda (como en el video) sólo que no encuentra nada, supongo que al venir la opción desactivada por defecto en el navegador (no hay opción para activarla) y no tener ningún programa tipo "agenda" que pueda pasar los datos al navegador.

Con Firefox 3.6.7 (mismo SO) ningún problema. Al pulsar Start no hace ningún tipo de búsqueda.

SO = Arch linux.

Akuma

Según Jobs:

"Si tu Safari tiene agujeros, sujeta el iMac de otra manera y mete el dedo para taparlos. De todas formas, este agujero lo tienen todos los navegadores."

LOL

1