Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

-288

Vulnerabilidad en Safari para Mac compromete datos personales

El navegador de Apple tiene un fallo grave de seguridad por el que una web malintencionada puede hacerse con nuestros datos personales sin nuestro consentimiento.

El agujero, que afecta a las versiones 4 y 5 de Safari, pone en riesgo potencial la privacidad de millones de usuarios, aquellos que usen este software bajo Mac OS X.

El error está en el auto-rellenado de formularios

Para ser vulnerables, hay que tener activada la opción de rellenar los formularios automáticamente desde la tarjeta de contacto del usuario en la Agenda de Mac OS X, ya que es precisamente esta función la que tiene el agujero.

safariautofill.png

Concretamente, Safari busca completar con los campos de formularios que nos piden el nombre, empresa para la que trabajamos, la ciudad y país donde residimos y el correo electrónico. Hay que saber que este proceso no tiene nada que ver con que el navegador guarde para sí mismo lo que hemos ido escribiendo nosotros en formularios y lo muestre a modo de sugerencia. Aquí Safari busca los datos en un programa externo a él (la Agenda), y no es necesario haberlos introducido previamente en otra web. Curiosamente, los números de teléfono no pueden ser "robados".

Por lo tanto, cualquier página malintencionada, con un formulario invisible y un código JavaScript que simulara pulsaciones en las teclas y que luego enviara la información que se autorellenaría, podría tener acceso a los datos personales de un usuario sin que él lo sepa. Como muestra, Jeremiah Grossman, jefe de tecnología de la firma de seguridad WhiteHat Security, nos enlaza una dirección para probar la vulnerabilidad. Para ello, tendremos que usar Safari en Mac OS X. Si no disponemos de estos requisitos, o no nos fiamos de esa web, podemos ver un vídeo al final de la entrada en su blog.

También se comenta que Chrome podría sufrir el mismo problema, o uno muy parecido. De confirmarse, el fallo podría estar el WebKit, el motor en el que se basan ambos navegadores, y no sería exclusivo de Safari. De todos modos, lo hemos puesto a prueba en el enlace anterior y no ha revelado ningún dato personal. Por otro lado, parece que en cualquier caso esto no afecta a ordenadores con Windows.

Volviendo a la noticia original, ante esta situación Apple no ha contestado de forma contundente después de que Grossman les notificara el fallo el pasado 17 de junio. Tras esperar más de un mes, se ha decidido a compartir la información y poner en alerta a los usuarios.

Mientras la empresa con sede en Cupertino actúa con un parche, la solución pasa por deshabilitar la función de auto-relleno de formularios.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    0

    Estaba claro...Ahora que mucha mas gente utiliza los MAC es…

    Estaba claro...Ahora que mucha mas gente utiliza los MAC es cuando empiezan a aparecer los virus, las páginas malintencionadas y demás. No es la primera noticia que escucho sobre esto.

    Os acordáis cuando decían que MAC no tenía virus ni nada por el estilo? que eso era solo de windows?

    Claaaaaaroo que si...cuando antes solo 5 gaticos utilizaban MAC...para que molestarse en sacar troyanos y malware para esos 5 gaticos. Era mas fácil atacar a los 1.223.433.137.987.491 usuarios de windows.

    A la hoguera con Apple !! Tan solo hay que esperar un par de años o tres para que la gente se de cuenta de que Apple solo vende por su diseño que entra por los ojos a los tonticos del pueblo.

    • BocaDePez BocaDePez
      6

      madremia bokita pescao, deberias de ponerte a aprender un…

      madremia bokita pescao, deberias de ponerte a aprender un poco mas antes de soltar todas tus mierdas por esa boca sin saber de que hablas

    • jajaja... cuando oigo este tipo de comentarios !!! por un…

      jajaja... cuando oigo este tipo de comentarios !!! por un agujerito , cuando en windows es directamente que el campo no tiene puertas :D

      por diseño ? todo no es soldar un procesador, chipset, gráficas e tuti cuanti: si te fijas hay infinidad de pequeños detalles que lo hacen muy diferente !!

      y el factor Sistema Operativo te lo has pasado por el forro del zapato !!!

      si hay cada vez hay más usuarios que quieren usar un mac... por algo será !!! quieren cosas prácticas y que les funcionen desde que los sacan de la caja.. sin conocer las alegrías de borrar de tanto en tanto su disco duro, para recuperar esto !!

      por cierto, seguro que no sabes que es, ni has probado un magic mouse... si diseño, pero puedes decir otro ratón que haga lo mismo ?

      • BocaDePez BocaDePez
        6

        Si aun no te has dado cuenta "machote" de que la gente compra…

        Si aun no te has dado cuenta "machote" de que la gente compra MAC por su diseño y por ser una alternativa a no usar Windows... en ese caso...

        Compra compra.

      • BocaDePez BocaDePez
        0

        Si tú no sabes administrar o gestionar un Windows…

        Si tú no sabes administrar o gestionar un Windows eficientemente, que necesitas reinstalarlo cada poco, no es problema de Windows. En ese caso, sí, Mac es más apropiado para ti.

    • Me uno al Bocadepez... Que forma de cagarla. Tu fanatismo te…

      Me uno al Bocadepez... Que forma de cagarla. Tu fanatismo te ha delatado! xD

      Igualmente no olvides que Mac siempre será algo más seguro por el tema este de los permisos que ningún usuario es administrador

      • BocaDePez BocaDePez
        6

        ¿Que ningún usuario es administrador? Juas. Mac OS X usa sudo…

        ¿Que ningún usuario es administrador? Juas. Mac OS X usa sudo para permitir que los usuarios no administradores realicen tareas de administración. Por tanto, eso de que ningún usuario es administrador no es cierto, poque de hecho pueden serlo todos (además de que el uso de sudo puede ser más inseguro que limitarse a usar una cuenta de usuario limitado y una de root).

      • BocaDePez BocaDePez
        6

        Que sea mas seguro...no quiere decir que puedas hacer mas…

        Que sea mas seguro...no quiere decir que puedas hacer mas cosas campeón. Tu fanatismo te ha delatado xDDDD

  • Según Jobs: "Si tu Safari tiene agujeros, sujeta el iMac de…

    Según Jobs:

    "Si tu Safari tiene agujeros, sujeta el iMac de otra manera y mete el dedo para taparlos. De todas formas, este agujero lo tienen todos los navegadores."

    LOL

    • BocaDePez BocaDePez
      -24

      Ya está, el friki. Espero que no tengas móvil con pantalla…

      Ya está, el friki. Espero que no tengas móvil con pantalla táctil, ni consola portátil... ni MP3... si la gente llamara por telefonillo del portal no tendría problemas con la batería del móvil.... por favor, seamos serios.

      • BocaDePez BocaDePez
        6

        Lo dice en coña,ironicamente, lynx es un navegador modo texto…

        Lo dice en coña,ironicamente, lynx es un navegador modo texto para linux, tipo links y links2 pero mejorado.

        Imagino que se pretendia reir

        ;)

        Las personas programamos por lo que cometemos errores safari tendra muchos aun por explotar solo que no se les ha investigado al igual que todo lo relacionado con linux, lo que la ventaja que tiene linux es que hay tanta gente que toca el código que puede dar con bugs y reportarlos o correjirlos ;) cosa que con safari no.

        Saludos

    • BocaDePez BocaDePez
      6

      Además de fallo de Seguridad, el Iphone 4 se queda sin…

      Además de fallo de Seguridad, el Iphone 4 se queda sin cobertura cuando lo coges con la mano. Vaya castaña de compañia que mete unas cagadas COMO UN PIANO!!!

      Mis "Leuros" para MAC ni-de-coña!

      • no tendrás acciones de Google ? por que vamos, ya te…

        no tendrás acciones de Google ? por que vamos, ya te recordaré cuando salgan los datos de devoluciones de iphone por este motivo, o como con una simple carcaza se resuelve el tema !!

        porque no comentas nada sobre los 500.000 ordenadores que ha tenido que llamar a casa SONY..

        pero claro hay que vender noticias (por supuesto publicidad)... ya existe al menos 20 móviles con OS android, oyes alguna noticia sobre ellos ?

        porque nadie comenta algo acerca del Retina Display? fácil, porque ya no pueden decir el mío mejor !!!

        comprar M-BENZ/BMW a precio de 600, va a ser que no !!! pero muchos se hacen la ilusión de que si se puede ....

        • BocaDePez BocaDePez
          18
          No, Apple en vez de llamar a casa los Iphone, lo que hace es…

          No, Apple en vez de llamar a casa los Iphone, lo que hace es responder que tiene que cogerlo de una forma determinada.

        • BocaDePez BocaDePez
          6
          comprar 600 a precio de M-BENZ/BMW, va a ser que tampoco !!! ^^

          comprar 600 a precio de M-BENZ/BMW, va a ser que tampoco !!! ^^

      • BocaDePez BocaDePez
        -6

        500€ vale el mini y menos. Trollaco, si no sabes al menos no…

        500€ vale el mini y menos. Trollaco, si no sabes al menos no hables, que pareces tontaco.

        Y el iphone 4 no pierde cobertura, tienes mil vídeos con iphones 4 que no pierden cobertura, es un problema de una compañía de telefonía americana.

        Puedes probar ese 'supuesto' agujero que no funciona, chaval.

        Cuanta envidia hay en los gadgets y en hardware.

        • BocaDePez BocaDePez
          6
          Si el problema es de la compañía. ¿Porque no hay reportes de…

          Si el problema es de la compañía. ¿Porque no hay reportes de otros teléfonos usando dicha compañía en la cual pierdan la cobertura según como lo cojas?

        • BocaDePez BocaDePez
          6
          Por eso Apple afirma que es cierto el problema. Vamos, ellos…

          Por eso Apple afirma que es cierto el problema. Vamos, ellos se tiran piedras a su tejado porque les da gana.

          Nice Troll

        • BocaDePez BocaDePez
          6
          "Querido" fanboy, el campo de distorsión de la realidad es…

          "Querido" fanboy, el campo de distorsión de la realidad es fuerte contigo. Dos preguntas: ¿Cómo es que en la web de la manzana me cobran desde 792€ por un mini, los compras tú en el chino de la esquina? ¿Y cómo es eso de que sólo pierden cobertura con una compañía americana, es que diseñan una antena especial para cada proveedor?

          Ahora puedes emprender la huida hacia adelante, y tratar de meter en el saco a todos los demás, aunque los fanboys como tú siempre hayáis defendido la "exclusividad", "mejor calidad" y "diferente manera de hacer las cosas" del tito Steve. Total, qué más da renegar de vuestros principios si se salva el tito Steve, alabado sea.

        • BocaDePez BocaDePez
          6
          insultando pierdes toda credibilidad y mas cuando eres el…

          insultando pierdes toda credibilidad y mas cuando eres el unico que insulta a falta de argumentos.

  • Tiene cullons que les hayan avisado a los de Apple hace un…

    Tiene cullons que les hayan avisado a los de Apple hace un mes, y que todavía no han sacado un parche.

    Está visto que actúan solo cuando hay actuación mediática de por medio, que pueda dañar su imagen... Muy mal.

    Saludos

    • BocaDePez BocaDePez
      12

      Esta noticia ha aparecido en varios medios serios excepto en…

      Esta noticia ha aparecido en varios medios serios excepto en el blog más conocido en castellano sobre el mundo Apple (applesfera). Ellos se dedican a mostrar un iPad modificado con controles de máquina tragaperra, aplicaciones de iPad para tener entretenidos a los hijos en verano, historia de los iconos para Mac... Es de vergüenza.

      Es un claro reflejo de la importancia que le dan la gran mayoría de usuarios de Apple al tema de la seguridad. Tan preocupados por tener los equipos/programas más bonitos ("Cool") están cegados ante los problemas de seguridad de su sistema operativo y van echando pestes sobre Windows pensando que su sistema es infalible.

      Cuando la cosa (debido al creciente éxito de su sistema) se ponga al nivel de Windows, veremos qué pasa. Tiempo al tiempo...

        • BocaDePez BocaDePez
          12
          ¿Cacho de troll? Madre mía, si sólo hay que pasarse por los…

          ¿Cacho de troll? Madre mía, si sólo hay que pasarse por los foros de blogs relacionados con el mundo Apple para verlo con tus propios ojos... Es más, cuando alguien se queja de la situación (como hago yo en este caso) todo son votos negativos y pataletas por parte de otros usuarios a los que no les gusta que le saquen los defectos de su sistema...

          Sólo hay que ver las noticias sobre Apple que publican en Applesfera y Xataka (del mismo weblog) y las respuestas de los usuarios...

          Venga, quiero pruebas de que lo que digo es una "trolleada" o como se escriba...

          • Es un claro reflejo de la importancia que le dan la gran…

            Es un claro reflejo de la importancia que le dan la gran mayoría de usuarios de Apple al tema de la seguridad.

            Eso es decir por decir y detrás de esa frase no hay un razonamiento imparcial sino más bien diría yo una trolleada sin fundamento o para ser más moderado una falta de conocimiento del uso de este sistema. La gran mayoría de usuarios de CUALQUIER sistema operativo le dan poca importancia a la seguridad, más que nada porque desconocen cómo hacer sus sistemas seguros y no nos engañemos, no hay ningún sistema infalible, hay usuarios más lerdos que otros y de eso es de lo que se aprovechan los cacos.

            En referencia a este fallo de seguridad de Safari una persona más o menos cuidadosa desde un principio no permite que el navegador guarde los datos que introduce en los formularios y una persona que pasa olímpicamente le dice que sí a todo.

            Fallos de seguridad van a poder aparecer siempre en todos los sistemas y programas, ya es decisión de cada uno en qué sistema desea tenerlos, eso no hace a los que utilizan Mac o Windows o Linux mejores ni peores. He dicho. :P

            • BocaDePez BocaDePez
              6
              Releyendo lo que he escrito, reconozco que suena bastante…

              Releyendo lo que he escrito, reconozco que suena bastante "visceral" pero, la experiencia, me ha demostrado que, todos los usuarios de Mac que conozco (que no son pocos) han dado el salto a Mac y cito literalmente "para olvidarme de problemas de seguridad, antivirus, cuelgues, etc.".

              Es decir, que pasan a Mac y se olvidan de cuidar su seguridad pues consideran que el sistema es completamente invulnerable a la basura que (tristemente) ensucia a los sistemas Windows.

              A mí me parece un error enorme pues, visto lo visto, no es un sistema invulnerable (y a medida que crece la popularidad y la difusión de los Mac, irá a peor).

              Hablo del usuario medio, el que usa el ordenador para tareas cotidianas. Otro tema es el usuario avanzado. Éste, trabaje bajo Windows, Mac OS X, GNU/Linux o lo que sea, se preocupará de tener su sistema limpio y protegido. Pero este usuario es el minoritario (y es el que ha de ir en rescate del usuario medio cuando sufre un desastre).

              ¿Queda mejor explicado lo que opino del tema?

  • Los cuatro navegadores mas usados por los internautas para…

    Los cuatro navegadores mas usados por los internautas para desplazarse a través de internet tienen un severo problema de seguridad que filtra información sobre los hábitos de navegación del usuario, su nombre completo, dirección de correo electrónico, localización e incluso de contraseñas almacenadas según un investigador de seguridad.

    En una charla que tendrá lugar la semana que viene en la Conferencia de Seguridad Black Hat en Las Vegas, Jeremiah Grossman, CTO de White Hat Security, planea mostrar una vulnerabilidad crítica en estos navegadores que son los cuatro con mas cuota de mercado.

    Lo mas afectados son Safari y las primeras versiones de Internet Explorer. El problema radica en como se maneja la información personal en los formularios a completar en una página. Al visitar una página especialmente malformada, se pueden crear campos no visibles que incluyan o soliciten información como "Nombre", "Apellidos", "Dirección" o "Tarjeta de crédito" añadiendo un javascript que teclea algunas letras o números en busca de que se abra el desplegable de autocompletado y seleccionar la información pertinente.

    Un usuario de Internet Explorer 6 ó 7 o de las versiones 4 y 5 de Safari, sin embargo, no puede evitar que esos campos se rellenen de forma automática y se envíen de vuelta al servidor sin dar su aprobación previa y si su interacción con el ordenador.

    Jeremiah Grossman también ha mostrado dos vulnerabilidades en Firefox y Google Chrome en las que es posible robar las contraseñas usando el sistema de autocompletado de información de ambos navegadores además de una vulnerabilidad XSS en la web donde se almacena la contraseña.

    Grossman también mostrará como un webmaster puede borrar todas las cookies de un ordenador debido al limite que tienen los navegadores en la admisión de estos pequeños fragmentos de código. En Firefox es de unas 3.000 y un poco mas de esa cantidad en otros navegadores. En este tipo de ataque, cuando se crean todas las nuevas cookies, las mas antiguas se borrar: a Grossman le costará borrar aproximadamente 2,5 segundos todas las cookies de un navegador, una prueba que mostrará en su próxima presentación.

    Fuente: Faq-mac.com

    • Has enlazado a otra noticia que viene a decir lo mismo que ha…

      Has enlazado a otra noticia que viene a decir lo mismo que ha publicado Luis.

      Espero ansioso esa demostración de Grossman y ver cuantos navegadores van a caer. Curiosamente las versiones viejas de IE, no solo tienen ese fallo, tienen mil más, pero no se dice nada de las versiones nuevas y es algo que me interesa saber (ya que si uso IE8) para cambiarme de navegador.

  • BocaDePez BocaDePez
    6

    A mi con la última versión de Midori (utiliza webkit) sí hace…

    A mi con la última versión de Midori (utiliza webkit) sí hace la búsqueda (como en el video) sólo que no encuentra nada, supongo que al venir la opción desactivada por defecto en el navegador (no hay opción para activarla) y no tener ningún programa tipo "agenda" que pueda pasar los datos al navegador.

    Con Firefox 3.6.7 (mismo SO) ningún problema. Al pulsar Start no hace ningún tipo de búsqueda.

    SO = Arch linux.

  • 30

    Confirmo que el problema está solo en Safari puesto que he…

    Confirmo que el problema está solo en Safari puesto que he hecho el test tanto el Chrome para Mac como Safari y solo en este último aparecen mis datos personales.

    Bueno, a decir verdad solo el nombre pero que hay más personal que el nombre ? xDD

    • 30

      A mí también me ha pillado todo lo que podía pillar en…

      A mí también me ha pillado todo lo que podía pillar en Safari: nombre y correo. Lo demás no lo tengo metido en la tarjeta de contacto. Como comento, en Chrome nada.

  • BocaDePez BocaDePez
    6

    Yo tengo mac y pc, me voy con mac al 100% pero soy consciente…

    Yo tengo mac y pc, me voy con mac al 100% pero soy consciente de que no es tan seguro como dicen. Navego con firefox en mac porque me da mas confianza.

1