29 июл. 2010 г.

Большинство браузеров позволяют воровство персональных данных

Оказывается, все популярные браузеры можно вынудить выдать персональные данные пользователя, которые затем можно использовать для взлома банковских счетов или другого рода нападений. По словам одного из руководителей компании WhiteHat Security Иеремии Гроссмана (Jeremiah Grossman), разработанный им код позволяет красть у браузеров информацию, которая автоматически сохраняется ими для реализации функции автозаполнения, позволяющей упростить ввод данных в формы на веб-сайтах.

Обычно это информация содержит имя пользователя, его адрес, электронный адрес, иногда пароли доступа к сайтам (например, онлайн-банку), номера кредитных карт, и введенные критерии поиска. Таким образом, преступники могут использовать часть информации, которую сохраняют браузеры, для разработки многоступенчатых атак, в ходе которых пользователю могут предложить раскрыть больше информации о себе или загрузить злонамеренное ПО, ставящее под угрозу его электронную почту или банковские счета.

Самый простой и действенный способ предотвращения этой угрозы заключается в отключении автозаполнения, однако наверняка найдется множество людей, которые, соизмерив удобство пользования этой функцией и возможные риски безопасности, выберут удобство. Иеремия Гроссман, собирается написать соответствующий код для всех браузеров, но уже сейчас он нашел способ злонамеренного использования автозаполнения для различных версий Internet Exoplorer, Safari, Chrome и Firefox.

В числе скомпрометированных браузеров находятся Internet Explorer 6 и 7, которым в совокупности принадлежит треть рынка интернет-обозревателей. По словам Гроссмана, ни Microsoft, ни Apple пока никак не отреагировали на сообщение об уязвимости.

Взято с ВэбПланета

Комментариев нет: