Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Dziura w bezpieczeństwie przeglądarki Safari firmy Apple

Wiaczesław Zakorzewski
Kaspersky Lab Expert
Dodany 13 grudnia 2013, 11:34 CET
Tagi:

W trakcie naszych badań nad różnymi rodzajami szkodliwych programów dla systemu OS X firmy Apple natknęliśmy się na interesujący problem w przeglądarce internetowej Safari firmy Apple. Safari, podobnie jak wiele innych przeglądarek, wyposażone jest w funkcję przywracania poprzedniej sesji. Innymi słowy, wszystkie strony, które były otwarte w poprzedniej sesji przeglądarki – nawet te, które wymagają uwierzytelniania – mogą zostać ponownie otwarte w kilku prostych krokach. Wygodne? Oczywiście. Bezpieczne? Niestety nie.

Aby przeglądarka mogła wiedzieć, co było otwarte na końcu poprzedniej sesji, odpowiednie informacje muszą być gdzieś przechowywane. Oczywiście, dane takie powinny znajdować się w miejscu, które nie jest łatwo dostępne dla każdego i powinny być zaszyfrowane.

Safari jednak nie szyfruje tych informacji, a do tego przechowuje je w pliku LastSession.plist (jest to typowy format plików dla systemu OS X), który bez problemu każdy może otworzyć. W wyniku tego każdy może bez kłopotu przejrzeć dane użytkownika związane z uwierzytelnianiem: 

safari_loophole_01_auto.png
Plik plist, w którym zapisana jest informacja logowania się użytkownika do serwisu Gmail

Jak widać (owalne zaznaczenie na zrzucie ekranu) nie ma mowy o jakimkolwiek szyfrowaniu loginu i hasła. Plik LastSession.plist znajduje się w ukrytym folderze, jednak każdy zalogowany użytkownik może odczytać jego zawartość.

W Safari dostępna jest funkcja „Otwórz wszystkie okna z ostatniej sesji”, która pozwala na odzyskanie stron aktywnych przed poprzednim zamknięciem przeglądarki – strony są otwierane w takim samym stanie, w jakim znajdowały się w poprzedniej sesji. To właśnie ta funkcja wykorzystuje dane z pliku LastSession.plist.

safari_loophole_02_auto.png
Funkcja „Otwórz wszystkie okna z ostatniej sesji” w przeglądarce Safari

Omawiana funkcja jest dostępna w następujących wersjach Safari dla systemu OS X:

  • OSX10.8.5, Safari 6.0.5 (8536.30.1)
  • OSX10.7.5, Safari 6.0.5 (7536.30.1)

Nietrudno wyobrazić sobie konsekwencje powstania szkodliwego programu uzyskującego dostęp do pliku LastSession.plist w systemie, w którym użytkownik loguje się do Facebooka, Gmaila, Twittera, kont bankowych i innych serwisów online.

Naszym zdaniem przechowywanie takich danych w niezaszyfrowanym, ogólnie dostępnym pliku jest poważną luką w bezpieczeństwie, która daje cyberprzestępcom duże możliwości łatwego uzyskania danych uwierzytelniających użytkowników.

Poinformowaliśmy już Apple o tym problemie.