Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

-288

Vulnerabilidad en Safari para Mac compromete datos personales

El navegador de Apple tiene un fallo grave de seguridad por el que una web malintencionada puede hacerse con nuestros datos personales sin nuestro consentimiento.

El agujero, que afecta a las versiones 4 y 5 de Safari, pone en riesgo potencial la privacidad de millones de usuarios, aquellos que usen este software bajo Mac OS X.

El error está en el auto-rellenado de formularios

Para ser vulnerables, hay que tener activada la opción de rellenar los formularios automáticamente desde la tarjeta de contacto del usuario en la Agenda de Mac OS X, ya que es precisamente esta función la que tiene el agujero.

safariautofill.png

Concretamente, Safari busca completar con los campos de formularios que nos piden el nombre, empresa para la que trabajamos, la ciudad y país donde residimos y el correo electrónico. Hay que saber que este proceso no tiene nada que ver con que el navegador guarde para sí mismo lo que hemos ido escribiendo nosotros en formularios y lo muestre a modo de sugerencia. Aquí Safari busca los datos en un programa externo a él (la Agenda), y no es necesario haberlos introducido previamente en otra web. Curiosamente, los números de teléfono no pueden ser "robados".

Por lo tanto, cualquier página malintencionada, con un formulario invisible y un código JavaScript que simulara pulsaciones en las teclas y que luego enviara la información que se autorellenaría, podría tener acceso a los datos personales de un usuario sin que él lo sepa. Como muestra, Jeremiah Grossman, jefe de tecnología de la firma de seguridad WhiteHat Security, nos enlaza una dirección para probar la vulnerabilidad. Para ello, tendremos que usar Safari en Mac OS X. Si no disponemos de estos requisitos, o no nos fiamos de esa web, podemos ver un vídeo al final de la entrada en su blog.

También se comenta que Chrome podría sufrir el mismo problema, o uno muy parecido. De confirmarse, el fallo podría estar el WebKit, el motor en el que se basan ambos navegadores, y no sería exclusivo de Safari. De todos modos, lo hemos puesto a prueba en el enlace anterior y no ha revelado ningún dato personal. Por otro lado, parece que en cualquier caso esto no afecta a ordenadores con Windows.

Volviendo a la noticia original, ante esta situación Apple no ha contestado de forma contundente después de que Grossman les notificara el fallo el pasado 17 de junio. Tras esperar más de un mes, se ha decidido a compartir la información y poner en alerta a los usuarios.

Mientras la empresa con sede en Cupertino actúa con un parche, la solución pasa por deshabilitar la función de auto-relleno de formularios.

  • Los cuatro navegadores mas usados por los internautas para…

    Los cuatro navegadores mas usados por los internautas para desplazarse a través de internet tienen un severo problema de seguridad que filtra información sobre los hábitos de navegación del usuario, su nombre completo, dirección de correo electrónico, localización e incluso de contraseñas almacenadas según un investigador de seguridad.

    En una charla que tendrá lugar la semana que viene en la Conferencia de Seguridad Black Hat en Las Vegas, Jeremiah Grossman, CTO de White Hat Security, planea mostrar una vulnerabilidad crítica en estos navegadores que son los cuatro con mas cuota de mercado.

    Lo mas afectados son Safari y las primeras versiones de Internet Explorer. El problema radica en como se maneja la información personal en los formularios a completar en una página. Al visitar una página especialmente malformada, se pueden crear campos no visibles que incluyan o soliciten información como "Nombre", "Apellidos", "Dirección" o "Tarjeta de crédito" añadiendo un javascript que teclea algunas letras o números en busca de que se abra el desplegable de autocompletado y seleccionar la información pertinente.

    Un usuario de Internet Explorer 6 ó 7 o de las versiones 4 y 5 de Safari, sin embargo, no puede evitar que esos campos se rellenen de forma automática y se envíen de vuelta al servidor sin dar su aprobación previa y si su interacción con el ordenador.

    Jeremiah Grossman también ha mostrado dos vulnerabilidades en Firefox y Google Chrome en las que es posible robar las contraseñas usando el sistema de autocompletado de información de ambos navegadores además de una vulnerabilidad XSS en la web donde se almacena la contraseña.

    Grossman también mostrará como un webmaster puede borrar todas las cookies de un ordenador debido al limite que tienen los navegadores en la admisión de estos pequeños fragmentos de código. En Firefox es de unas 3.000 y un poco mas de esa cantidad en otros navegadores. En este tipo de ataque, cuando se crean todas las nuevas cookies, las mas antiguas se borrar: a Grossman le costará borrar aproximadamente 2,5 segundos todas las cookies de un navegador, una prueba que mostrará en su próxima presentación.

    Fuente: Faq-mac.com

  • Tiene cullons que les hayan avisado a los de Apple hace un…

    Tiene cullons que les hayan avisado a los de Apple hace un mes, y que todavía no han sacado un parche.

    Está visto que actúan solo cuando hay actuación mediática de por medio, que pueda dañar su imagen... Muy mal.

    Saludos

    • Boca de Pez Boca de Pez
      12

      Esta noticia ha aparecido en varios medios serios excepto en…

      Esta noticia ha aparecido en varios medios serios excepto en el blog más conocido en castellano sobre el mundo Apple (applesfera). Ellos se dedican a mostrar un iPad modificado con controles de máquina tragaperra, aplicaciones de iPad para tener entretenidos a los hijos en verano, historia de los iconos para Mac... Es de vergüenza.

      Es un claro reflejo de la importancia que le dan la gran mayoría de usuarios de Apple al tema de la seguridad. Tan preocupados por tener los equipos/programas más bonitos ("Cool") están cegados ante los problemas de seguridad de su sistema operativo y van echando pestes sobre Windows pensando que su sistema es infalible.

      Cuando la cosa (debido al creciente éxito de su sistema) se ponga al nivel de Windows, veremos qué pasa. Tiempo al tiempo...

  • Boca de Pez Boca de Pez
    6

    Yo tengo mac y pc, me voy con mac al 100% pero soy consciente…

    Yo tengo mac y pc, me voy con mac al 100% pero soy consciente de que no es tan seguro como dicen. Navego con firefox en mac porque me da mas confianza.

  • 30

    Confirmo que el problema está solo en Safari puesto que he…

    Confirmo que el problema está solo en Safari puesto que he hecho el test tanto el Chrome para Mac como Safari y solo en este último aparecen mis datos personales.

    Bueno, a decir verdad solo el nombre pero que hay más personal que el nombre ? xDD

    • 30

      A mí también me ha pillado todo lo que podía pillar en…

      A mí también me ha pillado todo lo que podía pillar en Safari: nombre y correo. Lo demás no lo tengo metido en la tarjeta de contacto. Como comento, en Chrome nada.

  • Boca de Pez Boca de Pez
    0

    Estaba claro...Ahora que mucha mas gente utiliza los MAC es…

    Estaba claro...Ahora que mucha mas gente utiliza los MAC es cuando empiezan a aparecer los virus, las páginas malintencionadas y demás. No es la primera noticia que escucho sobre esto.

    Os acordáis cuando decían que MAC no tenía virus ni nada por el estilo? que eso era solo de windows?

    Claaaaaaroo que si...cuando antes solo 5 gaticos utilizaban MAC...para que molestarse en sacar troyanos y malware para esos 5 gaticos. Era mas fácil atacar a los 1.223.433.137.987.491 usuarios de windows.

    A la hoguera con Apple !! Tan solo hay que esperar un par de años o tres para que la gente se de cuenta de que Apple solo vende por su diseño que entra por los ojos a los tonticos del pueblo.

    • Me uno al Bocadepez... Que forma de cagarla. Tu fanatismo te…

      Me uno al Bocadepez... Que forma de cagarla. Tu fanatismo te ha delatado! xD

      Igualmente no olvides que Mac siempre será algo más seguro por el tema este de los permisos que ningún usuario es administrador

    • jajaja... cuando oigo este tipo de comentarios !!! por un…

      jajaja... cuando oigo este tipo de comentarios !!! por un agujerito , cuando en windows es directamente que el campo no tiene puertas :D

      por diseño ? todo no es soldar un procesador, chipset, gráficas e tuti cuanti: si te fijas hay infinidad de pequeños detalles que lo hacen muy diferente !!

      y el factor Sistema Operativo te lo has pasado por el forro del zapato !!!

      si hay cada vez hay más usuarios que quieren usar un mac... por algo será !!! quieren cosas prácticas y que les funcionen desde que los sacan de la caja.. sin conocer las alegrías de borrar de tanto en tanto su disco duro, para recuperar esto !!

      por cierto, seguro que no sabes que es, ni has probado un magic mouse... si diseño, pero puedes decir otro ratón que haga lo mismo ?

    • Boca de Pez Boca de Pez
      6

      madremia bokita pescao, deberias de ponerte a aprender un…

      madremia bokita pescao, deberias de ponerte a aprender un poco mas antes de soltar todas tus mierdas por esa boca sin saber de que hablas

  • Boca de Pez Boca de Pez
    6

    A mi con la última versión de Midori (utiliza webkit) sí hace…

    A mi con la última versión de Midori (utiliza webkit) sí hace la búsqueda (como en el video) sólo que no encuentra nada, supongo que al venir la opción desactivada por defecto en el navegador (no hay opción para activarla) y no tener ningún programa tipo "agenda" que pueda pasar los datos al navegador.

    Con Firefox 3.6.7 (mismo SO) ningún problema. Al pulsar Start no hace ningún tipo de búsqueda.

    SO = Arch linux.

  • Según Jobs: "Si tu Safari tiene agujeros, sujeta el iMac de…

    Según Jobs:

    "Si tu Safari tiene agujeros, sujeta el iMac de otra manera y mete el dedo para taparlos. De todas formas, este agujero lo tienen todos los navegadores."

    LOL