Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/12/2013
Una fallada de seguretat en Safari posa en perill les contrasenyes
Experts en seguretat han denunciat que el navegador web d’Apple, Safari, posa en perill l’emmagatzematge de les contrasenyes de l’usuari, a causa d’una fallada en la informació emmagatzemada per a la restauració de pàgines.
Perquè el navegador sàpia què estava obert en la sessió prèvia, la informació respecte d’això ha de guardar-se en algun costat i, expliquen des de Kaspersky Labs, ha d’estar codificada. "El problema és que Safari no codifica les sessions prèvies i les guarda en un format d’arxiu plist comú que és de fàcil accés".
Segons esta companyia de seguretat, "no resultaria complicat trobar les credencials d’inici de sessió de l’usuari", ja que la sessió autoritzada completa del lloc es guarda en l’arxiu plist, "completament a la vista a pesar que s’usara https". L’arxiu en si es troba en una carpeta oculta, però qualsevol pot llegir-lo."
El sistema pot obrir un arxiu plist sense problemes i guardar informació sobre la sessió, incloent-hi les sol·licituds http codificades usant un simple algoritme de codificació Base64, en format estructurat.
Concretament, la funció 'Reobrir totes les finestres de l’última sessió' que fa que els llocs s’òbriguen tal com estaven al final de l’última sessió. És la funció que utilitza LastSession.plist i està disponible en les versions de Mac OS X i Safari ##OSX10.8.5, Safari 6.0.5 (8536.30.1) i ##OSX10.7.5, Safari 6.0.5 (7536.30.1).
Segons els experts de Kaspersky Lab, seria un "gran problema" que els ciberdelinqüents o un programa maliciós tinguera accés a l’arxiu LastSession.plist en un sistema en què l’usuari ingressa a Facebook, Twitter, LinkedIn o el seu compte bancari d’Internet.
En este sentit, des d’esta companyia informen que de moment no s’ha detectat cap codi maliciós que estiga tractant d’aprofitar esta vulnerabilitat, però afig que "no tardarà a aparéixer si no se soluciona abans per part d’Apple".