苹果Safari的“自动填写”允许数据被盗

一个突出的安全研究人员敦促苹果公司的Safari浏览器用户立即关闭自动填充功能来阻止黑客窃取敏感信息。

据耶利米格罗斯曼，WhiteHat Security Web窗体功能的创始人和总监称黑客可以从“自动填充技术”窃取计算机的地址簿中的数据。

“就在目前的Safari用户访问一个网站，即使他们从未去过之前或输入任何个人信息，恶意网站可以发现他们的名字，姓氏，工作场所，城市，州和电子邮件地址， “格罗斯曼在博客解释。

格罗斯曼，Web应用程序安全专家表示，自动填充功能（通过全面修补Safari的默认启用）就会从该用户的操作系统在本地地址簿中的个人记录数据。

所有的恶意网站会做暗中从Safari地址簿中提取数据卡是动态创建的形式与上述名称的文本字段，可能看不见，排序，然后使用JavaScript模拟击键事件。当数据被填充，即AutoFill'ed，它可以被访问和发送给攻击者。

他说：“重要的是要强调此功能的作品，即使用户没有任何网站上输入这些数据。同时这种行为不应该混淆正常自动完成数据的Web浏览器可能还记得后成一种类型的，“格罗斯曼说。

格罗斯曼，将讨论谁在今年的Black Hat会议这一弱点/攻击的情况下，整个过程需时说，几秒钟和“代表在线隐私重要突破口。”

这种攻击可以进一步在多级攻击，包括垃圾邮件杠杆，（矛）钓鱼，跟踪，甚至敲诈勒索如果用户取消匿名访问，而反对的在线材料。

格罗斯曼说，他向苹果报告了两次，但是都是电子邮件自动回复了，从未有过认真的回复。