Jeremiah Grossman ได้เปิดเผยรายละเอียดไว้ในบล็อกของเขาว่า ผู้ใช้ที่ใช้คุณสมบัติการทำงานที่เรียกว่า "AutoFill web forms" ของบราวเซอร์ Safari เวอร์ชัน 4 และ 5 ให้ระวัง เนื่องจากคุณสมบัติดังกล่าวมีช่องโหว่ที่สามารถแทรกโค้ดอันตรายเข้าไปได้ ซึ่งปกติคุณสมบัติการทำงานของ AutoFill จะถูกเปิดให้ทำงานตั้งแต่แรกแล้ว
สำหรับคุณสมบัติดังกล่าวจะทำหน้าที่กรอกข้อมูลเข้าไปในแบบฟอร์มออนไลน์ให้กับผู้ใช้ได้โดยอัตโนมัติ อย่างเช่น ชื่อ บริษัท เมือง รัฐ อีเมล์ และอื่นๆ อีกมากมาย โดยข้อมูลเหล่านี้จะถูกดึงจากบันทึกข้อมูลส่วนตัวของผู้ใช้ที่รวมอยู่ใน address book ของระบบปฏิบัติการ Mac OS X ซึ่งนั่นหมายความว่า ข้อมูลส่วนตัวของผู้ใช้สามารถถูกนำมาใช้งานได้ แม้ผู้ใช้จะไม่ได้เป็นคนป้อนเข้าไปให้กับบราวเซอร์ก็ตาม "เว็บไซต์ไม่หวังดีสามารถแอบดึงข้อมูลจาก Address Book ผ่านทางบราวเซอร์ Safari โดยใช้แบบฟอร์มออนไลน์ที่ไม่แสดงให้เห็นบนหน้าจอ แล้วใช้จาวาสคริปท์จำลองการกดตัวอักษร A-Z เข้าไปในฟอร์ม เพื่อให้บราวเซอร์ดึงข้อมูลที่ตรงกันออกมา เมื่อได้ครบตามต้องการก็ส่งข้อมูลเหล่านั้นกลับไปยังแฮคเกอร์" Grossman โพสต์ข้อความนี้ไว้ในบล็อกของเขา
Grossman ยังได้สร้างหน้าเว็บ เพื่อพิสูจน์แนวคิด (proof-of-concept) ของเขา โดยแสดงให้เห็นว่า ใช้เวลาเพียงไม่กี่วินาทีเท่านั้น ก็สามารถดึงข้อมูลส่วนบุคคลของผู้ใช้ออกไปได้แล้ว Grossman กล่าวว่า ข้อมูลที่ได้สามารถนำไปใช้ในการส่งสแปม หรือโจมตีด้วยฟิชชิ่ง "โชคดีที่ข้อมูลใน AutoFill ที่เริ่มต้นด้วยตัวเลข อย่างเช่น เบอร์โทรศัพท์ หรือหมายเลขถนน จะไม่สามารถดึงออกมาได้ เนื่องจากมันไม่ค่อยเป็นที่นิยมใช้ในช่องใส่ข้อความ (text field)" เขากล่าว "อย่างไรก็ตาม การโจมตีด้วยวิธีนี้สามารถทำได้ง่าย แถมยังกระจายออกไปยังหมู่ผู้ใช้เป็นจำนวนมากได้ง่ายอีกด้วย" สำหรับวิธีป้องกันตัวเองง่ายๆ ก็คือ ปิด (disable) การทำงานของ AutoFill ใน Safari ไว้จนกว่าทาง Apple จะมีการแก้ปัญหานี้ออกมา
ข้อมูลจาก: tgdaily
แสดงบนเว็บไซด์ : http://www.it4x.com
ที่อยู่ของข้อความต้นฉบับ: http://www.arip.co.th/news.php?id=411784
บันทึกการเข้า
