Safari faile nešifruoti vartotojų ID ir slaptažodžiai

Kaspersky Lab specialistai aptiko, kad Safari naršyklėje galima pamatyti neužšifruotus vartotojų prisijungimo prie svetainių vardus ir slaptažodžius.

Kažkuria prasme saugumo spraga, aptikta Apple Safari naršyklėje susijusi su šios aplikacijos galimybe atidaryti visus paskutinės naršymo sesijos langus (Safari > History > Reopen App Windows from Last Session), kuri leidžia vartotojams atidaryti visas svetaines, kurias jie buvo atidarę prieš išjungiant naršyklę.

Kaspersky aptiko, kad failas, kurį sukuria Safari tam, kad šis naršymo istorijos dalies atstatymas taptų įmanomas turi ir informaciją apie vartotojų prisijungimo vardus bei slaptažodžius, kurie jame saugomi nešifruoti.

Nors tas failas sistemoje yra paslėptas, tačiau kai žinai ko ieškai nėra sudėtinga aptikti LastSession.plist failą. Atrodytų, kad tai nieko baisaus, kai kiekvienas kompiuteriu besinaudojantis žmogus turi savo atskirą paskyrą, teisingai sutvarkytas vartotojo teises ir kompiuteryje nenaudojamos „nulaužtos“ aplikacijos. Tačiau, kai yra spyna - visada gali atsirasti ir raktas nuo jos, todėl egzistuoja tikimybė, kad ir „teisingai“ sutvarkytoje kompiuterio naudojimo aplinkoje gali atsirasti piktybinis kodas, kuris nesunkiai galėtų gauti prieigą prie šio failo ir jame saugomų Facebook, Twitter, LinkedIn, Gmail ar net prisijungimo duomenis prie bankinių sistemų.

Kaspersky informavo Apple apie šią saugumo spragą.

Reikia paminėti, tiems, kurie jau pradėjo savo kompiuteriuose ieškoti to failo, kad ši saugumo spraga egzistuoja tik Safari 6.0.5 (8536.30.1) įdiegtoje OS X 10.8.5 (Mountain Lion) ir Safari 6.0.5 (7536.30.1) įdiegtoje OS X 10.7.5 (Lion).