È proprio un’estate di fuoco questa, per Apple: dopo l’antennagate e l’allarme lanciato da Secunia, ora arriva la scoperta di un notevole vulnerabilità individuata in Safari, in grado di esporre gli utenti al furto di dati sensibili.
Jeremiah Grossman ha scoperto come questo possa avvenire (sia in Safari 4, che nella più recente versione 5) sfruttando la funzione di auto completamento dei form presenti nelle pagine Internet: nome, indirizzo, email e altri dati personali, potrebbero essere acquisiti e utilizzati per inviare spam, ma anche per rendere più credibili eventuali email di phishing.
Come sappiamo, il riempimento automatico dei moduli, è la comoda funzione che permette di completare, in maniera del tutto automatica, alcuni dei moduli presenti nelle pagine Internet, accedendo alle nostre informazioni personali, memorizzate nella rubrica indirizzi: non è necessario l’intervento dell’utente, Safari è in grado di fare tutto da solo.
Il problema però, nasce esattamente qui: creando un’apposita pagina che contenga campi di inserimento invisibili, completati da codice Javascript (per simulare la digitazione dei tasti), è una questione di pochi attimi popolare il form e inviarlo all’hacker di sorta che avrà a disposizione tutte le nostre informazioni più importanti (è escluso, probabilmente per un bug, solo il numero di telefono).
Al momento, l’unica soluzione sembra essere quella di disabilitare l’auto completamento dei moduli, in attesa di un aggiornamento di sicurezza da parte di Apple, che risolva la questione.
Come si può vedere dall’immagine, per farlo, occorrerà accedere alle preferenze di Safari, scegliere la scheda Riempimento automatico e deselezionare l’opzione che permette di accedere alla rubrica indirizzi.