Użytkownikom przeglądarek zagraża... funkcja autouzupełniania

- Ujawnienie przez Grossmana luki w przeglądarkach przypomina sytuację, jaka miała miejsce w połowie czerwca 2010 roku, kiedy pracownik Google, Tavis Ormandy, ujawnił lukę w systemie Windows – komentuje Łukasz Nowatkowski z G Data Software. - W obu wypadkach powiadomiono odpowiednie firmy, lecz nie podjęły one niezbędnych działań zaradczych. Zarówno Tavis, jak i Grossman postanowili sami nagłośnić sprawę w nadziei na zmianę stanowiska firm. Z jednej strony jest to działanie kontrowersyjne, gdyż daje cyberprzestępcom wiedzę potrzebną do przeprowadzania ataków, przynajmniej do czasu załatania dziur przez producentów oprogramowania. Z drugiej strony można ich zrozumieć, ponieważ tylko tak mogą sprawić, by duże firmy w końcu podniosły bezpieczeństwo swoich produktów.

>> Czytaj także: Secunia: Apple ma najbardziej dziurawe oprogramowanie

Wykład pt. „Breaking Browsers: Hacking Auto-Complete” zostanie wygłoszony w drugim dniu konferencji, 29 lipca. Z dostępnych już teraz informacji wynika, że aby doszło do ataku, internauta musi odwiedzić specjalnie speparowaną stronę WWW. Cyberprzestępcy mogą wykorzystać funkcję przeglądarek odpowiedzialną za automatyczne uzupełnianie pól formularza.

Podpięty do danej witryny kod, napisany w języku JavaScript, może pobrać dane użytkownika z przeglądarki i uzupełnić wyświetlony formularz bez jakiejkolwiek interakcji ze strony nieświadomego internauty. Co więcej, poprzez zmianę ustawień twórca witryny może sprawić, że formularz oraz wpisywane do niego informacje pozostaną niewidzialne dla oka użytkownika, co jeszcze bardziej utrudni wykrycie ataku.

>> Czytaj także: Jak z sukcesem zaatakować miliony domowych routerów

Podatne są na niego przede wszystkim Safari 4 i 5 oraz Internet Explorer 6 i 7. Jak w rozmowie z serwisem The Register podaje Grossman, w połączeniu z cross-site scriptingiem podobne manipulacje można przeprowadzić także w Firefoksie i Google Chrome.