Większość użytkowników korzystała kiedyś z funkcji automatycznego uzupełniania - przeglądarka zapamiętuje wartości wpisywane w rozmaite pole tekstowe na stronach internetowych, a następnie, kiedy zaczynamy wpisywać tekst w podobne pole, proponuje nam wcześniej wpisaną wartość. Tę właśnie właściwość przeglądarki wykorzystuje Grossman.
W przypadku Safari jego skrypt symuluje wpisywanie w pola tekstowe kolejnych liter i liczb, a następnie zapisuje wartości, które udało się w ten sposób uzyskać. W przypadku IE po prostu symuluje naciśnięcie kursora w dół (podatność nie dotyczy jednak najnowszej wersji przeglądarki, czyli IE8, a jedynie 6 i 7). Wszystko dzieje się automatycznie i w ciągu sekund, wystarczy tylko wejść na stronę. Aby dodatkowo utrudnić wykrycie ataku, pole i wpisywane w nie informacje mogą być ustawione tak, aby użytkownik nie widział co się dzieje.
Tą metodą można z przeglądarki wyciągnąć praktycznie wszystkie informacje wpisywane przez użytkownika w formularze na stronach. Imię i nazwisko, adresy i telefony, numery kart kredytowych, a nawet historię wyszukiwania.
Grossman zapowiedział, że zaprezentuje działanie podatności na konferencji Black Hat Security. W notce na swoim blogu w której opisuje podatność, wspomina także, że powiadomił Apple o dziurze, chcąc ich uprzedzić. Otrzymał tylko automatyczną odpowiedź - kiedy na nią odpisał, nie otrzymał żadnej odpowiedzi. Okazuje się też, że podatność Safari o podobnych efektach była opisywana już w 2009 roku, zaś IE 6 i 7 w 2008.
Wygląda jednak na to, że publiczne ogłoszenie błędu najskuteczniej motywuje dostawców do działania. Apple ogłosił, że jest świadomy problemu i pracuje nad rozwiązaniem, zaznaczył także, że traktuje bezpieczeństwo bardzo poważnie. Podobne oświadczenie wydał Microsoft. Użytkownicy IE mogą zaktualizować swoją przeglądarkę do wersji 8, a osobom przywiązanym do Safari, pozostaje wyłączyć autouzupełnianie i czekać na poprawkę od producenta, lub zainstalować inną przeglądarkę.
[via The Register ]
Maciej Starzycki