Neues Sicherheitsrisiko durch AutoFill-Funktion von Safari

Florian Matthey

Der Sicherheitsexperte Jeremiah Grossman hat eine neue Sicherheitslücke in Safari entdeckt. Erneut bietet diese die Möglichkeit, Daten über die Autofill-Funktion zum automatischen Ausfüllen von Formularen von Benutzern zu stehlen. Im Gegensatz zur von Apple schon geschlossenen Lücke funktioniert das Ganze aber nicht vollständig automatisch.

Die zuvor von Safari 5.0.1 geschlossene Lücke ermöglichte es Angreifern, ihre Seite so zu präparieren, dass Safari die vom Benutzer freigegebenen Daten automatisch in ein Formular eintragen wollte. Ohne dass der Benutzer etwas bemerkte, erfasste der Server diese Daten sofort.

Die weitere, erst jetzt entdeckte Lücke funktioniert wiederum nur, wenn der Benutzer selbst eine bestimmte Tastenkombination eingibt. Beispielsweise beim Eingeben von “USA” als Land in einem Formular: Nach dem Drücken der Taste U und der Tab-Taste gibt Safari die Daten frei, ohne den Benutzer zu informieren. Auch mit anderen Tastenkombinationen soll das funktionieren. Die Websites könnten den Benutzer beispielsweise über Online-Spiele dazu bringen, diese einzugeben.

Die Preisgabe von Informationen lässt sich dadurch verhindern, die AutoFill-Funktion des Browsers in den Einstellungen komplett zu deaktivieren, bis Apple ein neues Update veröffentlicht.

Neue Artikel von GIGA APPLE

GIGA Marktplatz