พบช่องโหว่สำหรับขโมยข้อมูลส่วนตัวใน AutoFill ของ Safari

By: mk
FounderAndroid
on 23 July 2010 - 09:08 Tags:
Topics: 
Apple
Security
Privacy
Browser
Safari
Node Thumbnail

มีคนพบช่องโหว่ของฟีเจอร์กรอกฟอร์มอัตโนมัติ หรือ AutoFill ของ Safari เวอร์ชัน 4 และ 5 ซึ่งจะดึงข้อมูลส่วนตัวของเรา เช่น ชื่อ อีเมล องค์กร จาก Address Book ของระบบ (ผมหาไม่เจอว่าเป็นเฉพาะแมค หรือรวมเวอร์ชันวินโดวส์ด้วย) ไปกรอกฟอร์มให้อัตโนมัติ

แฮ็กเกอร์สามารถใช้ช่องโหว่ที่ว่า สร้างเว็บไซต์ปลอมๆ ขึ้นมาดึงเอาข้อมูลส่วนตัวจาก Safari ไปได้เลย ตอนนี้มีคนสร้างเว็บตัวอย่างที่ทำงานขโมยข้อมูลได้จริงแล้ว แต่ยังไม่มีรายงานว่ามีแฮ็กเกอร์ประสงค์ร้าย ใช้โอกาสจากช่องโหว่นี้มาก่อนหรือไม่

ที่สำคัญคือพอช่องโหว่นี้ถูกเผยแพร่ออกมา ปรากฎว่ามันเป็นช่องโหว่เดิมที่ถูกเจอเมื่อ 1 ปีก่อน แต่แอปเปิลยังไม่ได้สนใจจะอุดช่องโหว่นี้ ทางแก้เบื้องต้นคือปิดการดึงข้อมูลจาก Address Book ไปก่อน (ภาพประกอบ)

ที่มา - Jeremiah Grossman, 9to5mac

Get latest news from Blognone

Comments

By: DrRider
WriterAndroid
on 23 July 2010 - 09:13 #195086
DrRider's picture

ทางแก้เบื้องต้น ใช้ Firefox, Chrome, etc ... แทน Safari

We need to learn to forgive but not forget...

By: joomla
iPhoneUbuntu
on 23 July 2010 - 10:30 #195115 Reply to:195086
joomla's picture

ฮา

By: pexza
AndroidUbuntuWindows
on 23 July 2010 - 09:20 #195089
pexza's picture

เฮ้อ .. ชีวิตติดเทคโนโลยีนี่ก็ไม่ไหวเหมือนกันนะถ้าไหวตัวไม่ทันเนี่ย

By: xxa
Android
on 23 July 2010 - 09:21 #195091

บริษัทขี้เกียจ

By: John
iPhoneWindows PhoneAndroidSymbian
on 23 July 2010 - 09:51 #195096
John's picture

ปกติมันจะดึงจาก Keychain นะครับ เป็นโปรแกรมสำหรับเก็บข้อมูลสำคัญพวกรหัสผ่านของเราไว้ แต่การดึงครั้งแรกมันจะถามว่าจะให้เว็บที่เราเปิดนี่ดึงไหม คนที่กดมั่วให้มันดึงหมดอาจจะโดนแบบนี้ได้ (อันนี้เป็นของแมคนะ ของวินโดว์หาไม่เจอเหมือนกันว่ามันทำได้หรือเปล่า)

By: Lightwave
iPhoneAndroidWindows
on 23 July 2010 - 19:49 #195340 Reply to:195096

มันถามว่าจะยอมให้แอปนี้ดึงหรือเปล่านิ
*ดึงครั้งนี้ครั้งเดียว
*ดึงทุกครั้งไม่ต้องมาถามอีก
*ไม่ให้ดึง

By: rattananen
AndroidWindows
on 23 July 2010 - 10:19 #195110

แล้วข่าวนี้มันอะไรข่าวปลอม? http://www.blognone.com/news/17526
รู้ว่ามีแล้วยังไม่แก้ ยังได้เป็นอันดับหนึ่ง ไม่เข้าใจเลยจริงๆ

By: TOTEETIME on 23 July 2010 - 10:38 #195118 Reply to:195110

??? ก็เลยได้เป็นเบอร์หนึ่งซอฟต์แวร์ที่มีช่องโหว่ด้านความปลอดภัยไงครับ
ข่าวก็สอดคล้องไปทางเดียวกันดีนิ?

By: iStyle
ContributoriPhoneAndroidSymbian
on 23 July 2010 - 10:44 #195124 Reply to:195110
iStyle's picture

กลับไปอ่านดีๆ อีกรอบครับ

May the Force Close be with you. || @nuttyi

By: rattananen
AndroidWindows
on 23 July 2010 - 10:52 #195136 Reply to:195124

จริงด้วยครับ ขออภัยด้วยครับ
ตอนเช้าหัวมันยังเบลอๆ

By: bongikairu
ContributoriPhone
on 23 July 2010 - 13:53 #195222 Reply to:195110

ผมเห็นเค้าเขียนว่าส่วนใหญ่นะครับ เพราะฉะนั้นเป็นข่าวจริงแน่นอน

By: iStyle
ContributoriPhoneAndroidSymbian
on 23 July 2010 - 10:43 #195123
iStyle's picture

แปลว่าบริษัทนี้ขี้เกียจ?

May the Force Close be with you. || @nuttyi

By: mr_tawan
ContributoriPhoneAndroidWindows
on 23 July 2010 - 16:01 #195272 Reply to:195123
mr_tawan's picture

+1 ดูจากอัตราการอัพเดต

  • 9tawan.net บล็อกส่วนตัวฮับ
By: Fzo
ContributorAndroid
on 23 July 2010 - 14:29 #195242
Fzo's picture

สู้ชาว Open Souce ไม่ได้เลย ..

WE ARE THE 99%

By: RYUTAZA
Contributor
on 23 July 2010 - 20:41 #195370

ข่าวต่อไป: จอบส์บอกปัญหานี้เป็นทุกค่ายพร้อมโชว์ตัวอย่างด้วย IE8 Firefox4
และเรายินดีแจกเมาส์ฟรีสำหรับไว้คลิกแก้ปัญหานี้ ขอให้ทุกคนวางใจได้! ปัญหาไม่ได้เกิดจากเรา..

ป.ล. ล้อเล่นนะครับ ขำ ๆ : P