Falha no Safari permite recolher dados do utilizador

23 jul 2010 16:15

Este artigo tem mais de 15 anos

Um especialista em segurança alertou para uma falha no browser da Apple que permite a transferência para sites maliciosos de dados pessoais do utilizador, como o nome, correio electrónico ou morada. A empresa já admitiu o problema.

Um especialista em segurança informática afirma ter detectado uma falha no Safari que pode levar à recolha dados pessoais do utilizador, relatam hoje vários meios de comunicação internacionais. Em causa pode estar a recolha de dados como o nome, correio electrónico, morada, número de telefone e local de trabalho do internauta.

O alerta partiu de Jeremiah Grossman, fundador e CTO (director para a área tecnológica) da WhiteHat Security, que explica, no seu blog, que a vulnerabilidade pode ser explorada à passagem por sites com código malicioso, levando o programa a fornecer automaticamente esse tipo de informações.

O problema está relacionado com uma opção do browser, que se encontra activada por defeito e que permite preencher automaticamente formulários online, usando informação da agenda do utilizador.

Para evitarem este tipo de ataques, os utilizadores podem desactivar a opção de "AutoFill" (ou "Auto Preenchimento") de formulários web, refere.

Fez também notar que os campos de preenchimento que começam com números (como números de telefone, ou de portas) não estão, "por alguma razão" a ser transferidos.

O especialista acrescentou ainda que a vulnerabilidade está em todos os browsers desenvolvidos com recurso ao motor WebKit, mas a prova-de-conceito só explora o problema no Safari para Mac OS X. No caso da versão do browser para iOS esta requereria intervenção do utilizador e na mais recente versão do Chrome não funciona.

Segundo defende, quando o utilizador do Safari visita um site malicioso, este pode recolher as informações, "mesmo que o internauta nunca por lá tenha passado antes, ou introduzido qualquer informação pessoal".

Jeremiah Grossman afirma também que decidiu publicar o resultado da sua "investigação", depois de, em Junho, ter notificado a empresa do problema, sem ter recebido qualquer contacto por parte desta para além de uma resposta automática ao email.

Contactada pelo The New York Times, a Apple reconheceu a vulnerabilidade, afirmando que está a trabalhar numa solução, mas sem avançar ainda uma data para resolver o problema.