Safari tiene un problema de seguridad, un agujero, a partir del cual algunos de nuestros datos personales podrían ser obtenidos sin nuestro permiso a través de webs malintencionadas y creadas para tal uso.
Según ha publicado Jeremiah Grossman, CEO de Whitehat security, este problema lleva presente ya varias semanas en varios navegadores, pero hasta ahora nadie se había percatado de la situación.
Todo el problema está relacionado con la opción de Autorelleno de formularios web, que en Safari viene activada por defecto y que todos podéis encontrar en el panel de preferencias del navegador y en la pestaña Autorelleno. Al tener activada esta opción, Safari acude a nuestra Agenda para obtener nuestros datos personales e introducirlos en los formularios de las páginas web.
Aunque no se haya visitado esa web en concreto anteriormente, el problema persiste, porque en este caso los datos no se recuerdan de otras veces en las que los hayamos introducido, sino que se hace una extracción directa de lo que hemos introducido en nuestra Agenda.
Así, una página que fuese creada con intenciones sospechosas, un formulario invisble y algún otro código JavaScript, podría acceder a los siguientes datos personales: nombre, empresa en la que trabajas, ciudad, país y dirección de email.
La demostración del fallo de seguridad
Para demostrar tal problema, Grossman ha puesto a disposición de los usuarios una web que simula dicho proceso y que enlazamos al final de esta misma entrada. Utilizando Safari y accediendo a dicha web, una vez que pulsamos start podremos ver que los datos son adivinados en pocos segundos y con gran exactitud. Si por alguna razón no estás cómodo con hacer la prueba tú mismo, puedes ver un vídeo que Grossman publicó en su propio blog en el que demuestra el proceso.
Este problema de autorellenado está presente en Safari (4 y 5) en su versión para Mac OS X, por lo tanto, los usuarios de Windows no tienen de qué preocuparse sobre este problema. Los usuarios de Chrome y Firefox también están a salvo por ahora.
Lo más grave de toda esta situación es, quizás, el hecho de que Grossman se puso en contacto con Apple hace ya un mes para transmitirle el problema, y al no recibir respuesta alguna o parche que solucionara esta situación, decidió hacerlo público para todo el mundo.
Hablábamos esta misma semana en Genbeta de los planes de Mozilla y Google para financiar, por decirlo de alguna manera, la búsqueda por parte de los propios usuarios de agujeros o bugs en sus sistemas. Decía en esa misma entrada que analistas de seguridad se encuentran muchas veces en un dilema, sobre si publicar lo encontrado o no, y en este caso Grossman ha tirado por la calle del medio.
No hace falta alarmarse, las posibilidades de encontrarse una web de este tipo no pueden ser muy altas, y menos en usuarios que conocen los entresijos de estos sistemas como algunos de los que nos leéis. De todas formas, y por seguridad, no estaría de más desactivar la casilla de Autorelleno de formularios web en vuestro Safari hasta nuevo aviso por parte de Apple.
Actualización: Los compañeros de AllThingsD recogen unas declaraciones oficiales de Apple en las que dicen que “nos tomamos muy en serio la seguridad y la privacidad. Conocemos los problemas de Safari y estamos trabajando en una solución”
Vía | Jeremiah Grossman
Enlace | Web para probar el fallo
En Genbeta | Mozilla y Google suben su oferta y pagan 3000 dólares a los que encuentren bugs importantes
Comentarios
interesante
Mañana en GenBeta: "No solo Safari tiene problemas de seguridad..."
Pssss, ¿Pues no decian que era tan "seguro" porque no tenia virus?
A día de hoy los virus me preocupan mucho menos que los problemas de seguridad que ponen en peligro mis datos personales y/o bancarios, de los cuales ya van varios de Apple este mes.
-- editado por última vez a las 23:09
interesante
Ahora los Virus son un mal menor. El gran problema es el phishing y el malware (troyanos). Y ahí da igual el SO, si tu le dices que cargue, ahí cargará. O simplemente utilizar una brecha del navegador más utilizado (explore - firefox - chrome - safari).
El otro día salió el problema de que una extensión de Firefox tenia un Malware que guardaba tus datos y los enviaba plácidamente a sabe dios donde. Y lo mas grave era que el problema ocurría en todos los SO.
Por eso dicen que la mejor forma de realizar una compra o transacción comercial por internet es con una distribución Linux en un LiveCD.
Todos los datos se eliminarán y no quedará ni rastro después de salir de este.
Yo para pagar el World Of Warcaft lo hago de esa forma.
+1
interesante
Tampoco es que sea perfecto hacer eso, esas LiveCD no están actualizadas eternamente, si, puedes coger la mas reciente, pero a no ser que sea del día anterior, los parches posteriores no estarán instalados.
interesante
Si, una extension experimental que tenía una bonita advertencia y la cual, nada más informarse y recibir el aviso, los de Mozilla han retirado; al contrario que Apple.
Pues ya ves, siguen sin publicar los problemas de recepción del iPhone 4.
No lo hacen porque es un problema de Hardware, nada que ver con Genbeta. Aunque en su momento Apple le hechó la culpa al algoritmo de calcular la recepción en su iPhone, ridículo verdad?
Creo que es una exageración, yo hago muchas transacciones de toda clase por internet, pagos con tarjeta, transferencias, paypal, comprar por steam... y nunca he tenido problemas. Basta con fijarse algo en si la direccion es correcta, el protocolo es https, antivirus actualizados y muy importante no instalar programas chorras que no conoces. Mas seguro que las distribuciones live de linux creo que son las versiones instaladas, bien actualizadas y usarlas solo para eso.
La seguridad perfecta no existe, eso está más que claro.
Pero es un método más seguro que hacerlo con el sistema de uso diario y, hasta que no disponga de otro mejor, lo seguiré usando.
Yo uso Linux como sistema diario instalado y actualizado y aún así no me fio.
No sabemos si el navegador tiene otra brecha de seguridad o un bug que permita obtener esa información de otro modo (como guardar esa información aunque tu no se lo estés pidiendo y otras páginas webs hagan uso de esa información cuando las visites).
Como con el dinero no se juega, voy a lo "más seguro" que hay ahora mismo a mi parecer.
Por eso nunca uso el autorrellenado de formularios... ni tampoco nada del mundo Apple. Ya deben estar con infarto los fanboys.
Siguiendo tu razonamiento, tampoco usarás nada ralacionado con Microsoft, o mejor aún, no usarás ningún sistema informático ya que todos contienen bugs (BSD, Linux, Mac, Windows, etc...).
Creo que eso era mas bien una broma, no un razonamiento.
No me ha parecido una broma, pero si es así, retiro mi comentario.
a apple le importan mas los fallos de diseño que los fallos de seguridad, ya que el diseño es lo que vende sus productos. En linux es al revés, y que conste que yo uso windows por comatibilidades
el problema no son los virus solamente como muchos dicen. es el pishing y el bajarse cualquier cosa y darle a next, next, next y tira pa lante. hay que tener cuidado, con los datos importantes y con los que parece que no lo son tanto.
Me parece una LOCURA y una gran IRRESPONSABILIDAD guardar datos personales en el navegador de interner teniendo en cuenta que cada poco tiempo salen nuevas fallas y hay webmasters con demasiada picaresca.
Allá cada cual con su intimidad.
Saludos.
12 Comentario moderado
10pues llamame loco e irresponsable, pero yo guardo todas las contraseñas (excepto bancarias) en una extensión de firefox llamada Xmarks Sync, y además de eso, se me sincronizan con otros 4 ordenadores.
Yo puse mi nombre y mi primer apellido, ¿significa esto que los de mi red local WiFi pueden ver mi nombre asociado a este dispositivo?
Cuidado con Chrome, Chromium (de ayer o antes) y Safari en Windows. Chrome en Linux también esta afectado, así que es cosa de WEBKIT. Bueno, y STEAM, tambien comprobado, ya que usa WEBKIT.
Lo mejor es quitar lo de los formularios y borrar los datos que contengan.
-- editado por última vez a las 03:07
Vaya tela... cada dia me siento mas desencantado con la manzana, menos mal que no uso safari en mi macbook pro y ademas pocas veces uso Mac OS, paso mas tiempo en mi Debian Sid, mac os solo me vale para las presentaciones de cliente, cuando necesito administrar las maquinas remotamente lo hago desde Linux
Hay algunas partes del articulo que de confunden un poco, quizás sea que es muy pronto o algo (antes de las 10 no soy persona).
El problema lo tiene solo Safari? Webkit? todos? algunos? Yo no se en Safari 5, pero en cuatro estas opciones de autorelleno me vinieron desactivadas, aunque uso el relleno de usuarios y passwords, pero bueno, lo maximo que te pueden sacar es tu nombre, numero de telefono y dirección no?
Renato, todavía no hay muchos detalles ni información oficial sobre el asunto. Pero sobre lo que dices, te copio un comentario de Grossman en su propio blog:
"I believe this may be a WebKit issue and not just Safari. While it is difficult to confirm now, I suspect this technique did in fact affect Chrome. Had some discussions with Google a while back surrounding this topic and recall them finding/fixing something, but I don't really get all the details straight. Will have to find an older Chrome version somewhere to confirm..."
Que fuerte me parece... Eso pasa "por no tener virus en el sistema" a saber la de burradas de bugs descomunales como este tienen...
Una pregunta
¿Los que guardamos las contraseñas en el llavero estamos a salvo?
Sí, en principio sí. Esto sólo está relacionado con la información de la Agenda.
De todas formas, con desactivar la autorelleno ya está.
Gracias Jaime. Ya me quedo más tranquilo pues. Yo es que casi todas las pass las guardo en el llavero del sistema. Es comodísimo.
Espero que desde la propia red local a la que estoy conectado no me puedan reventar el llavero y ver todas mis claves.
Hola populus, que quíeres decir con el llavero del sistema?
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect