ช่องโหว่ใน Autofill ของ Safari อาจทำข้อมูลส่วนตัวของคุณรั่วได้


Jeremiah Grossman ผู้ก่อตั้ง WhiteHat Security ได้ค้นพบว่าฟีเจอร์ Autofill ของ Safari Web browser มีโอกาสจะถูกใช้เป็นช่องทางให้ผู้ไม่หวังดีขโมยข้อมูลส่วนตัวของคุณที่เก็บไว้ในเครื่องได้

หน้าที่ของฟีเจอร์ Autofill คือมันจะดึงเอาข้อมูลส่วนตัวของคุณ เช่น อีเมล์ ที่อยู่ สถานที่ทำงาน เบอร์โทรศัพท์ ที่เก็บไว้ใน Address Book ไปใส่ให้ในหน้าเว็บที่มีการเรียกขอข้อมูลโดยอัตโนมัติ เช่น หน้าเว็บที่กรอกสมัครสมาชิก เป็นต้น ฟังดูแล้วอาจจะคล้ายๆ กับ Auto-complete ซึ่งเป็นการจำค่าข้อมูลที่เรากรอกแบบฟอร์มแล้วเก็บไว้ไปใส่ในการกรอกที่อื่นๆ ครั้งต่อไป แต่ Autofill นี้มันทำงานดีเกินหน้าที่แบบ Auto complete ไปนิดหน่อย คือ ผู้ใช้หรือหน้าเว็บนั้นไม่จำเป็นต้องมีอะไรให้กรอกเลยก็ได้ ขอแค่ใน HTML code ของเว็บนั้นมีการเรียกขอ input attributes จำพวก name, company, email ฯลฯ Autofill ก็จะตรวจเจอและทำงานให้เลย สะดวกจริงๆ

ความสะดวกที่ Apple หยิบยื่นให้นี้เปิดโอกาสให้ผู้ไม่หวังดีขโมยข้อมูลส่วนตัวของเราไปได้ โดยการฝัง HTML code ดังที่กล่าวไปแล้ว จากนั้นก็แทรก Javascript ที่ไล่ตัวอักษรไปจาก A-Z เมื่อเจอตัวอักษรที่ตรงกับตัวเริ่มต้นของชื่อผู้ใช้หรือข้อมูลใน Field นั้น ข้อมูลต่างๆ ก็จะถูก Autofill จัดใส่พานเรียบร้อยส่งให้ถึง มือ เครื่องโจรอย่างสะดวกโยธิน โดยที่เราไม่รู้เรื่องอะไรเลย สะดวกดีมั้ยหละ

เพื่อให้ได้เข้าใจกันแบบเห็นภาพ Jeremiah Grossman ได้โพสต์ Video Demo ตัวอย่าง Proof-of-concept ของการขโมยข้อมูลนี้ไว้ที่บล็อกของเขาด้วย http://jeremiahgrossman.blogspot.com/2010/07/i-know-who-your-name-where-you-work-and.html

ทางแก้ชั่วคราวในตอนนี้ (จนกว่า Apple จะออก patch แก้ไข) คือเข้าไปปิดฟีเจอร์ Autofill นี้ซะ ที่ Preferences > AutoFill > AutoFill web forms แล้วเอาเครื่องหมายถูกข้างหน้า “Using info from my Address Book card” ออก

ภาพจากบล็อกของ Jeremiah Grossman

ช่องโหว่นี้กระทบทั้ง Safari 4 และ Safari 5 ใครใช้ Mac OS X และใช้ Safari เป็น browser หลัก รีบแก้ไขด่วน!

ที่มา Jeremiah Grossman’s blog via Lifehacker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: