В системе безопасности Apple Safari нашли нелепую «катастрофическую дыру»

16 Декабрь 2013

«Лаборатория Касперского» нашла нелепую дыру в безопасности браузера Apple Safari, которую сразу же окрестили «катастрофической». Используя эту дыру, хакеры без лишних усилий получали доступ к конфиденциальной информации пользователей к практически любым сайтам. Пара логин и пароль в браузере Apple Safari по какой-то причине записывается в незашифрованный plist-файл, что попросту недопустимо.

Safari, входящий в состав операционной системы OS X, как и многие другие браузеры, «умеет» работать с закрытой ранее сессией. То есть, включив свой компьютер и открыв браузер, пользователь легко может восстановить все открытые ранее в нем сайты и автоматически в них авторизоваться.

Эксперт из «Лаборатории Касперского» Вячеслав Закоржевский сообщает, что браузеру нужно откуда-то узнать, на каком месте пользователь завершил свою прошлую сессию, а значит, эта информация куда-то записывается. Совершенно очевидно, что сведения о прошлой сессии должны храниться в труднодоступном месте, а еще лучше, в зашифрованном виде.

Согласно исследованию экспертов «Лаборатории Касперского», Apple Safari хранит информацию о последней рабочей сессии в незашифрованном файле, который может свободно заполучить любой хакер. В российской антивирусной лаборатории назвали факт хранения конфиденциальных данных в открытом виде просто катастрофическим промахом, так как доселе все пользователи браузера Apple рисковали защитой своих пользовательских данных. На данный момент «Лаборатория Касперского» не располагает информацией, чтобы опровергнуть или подтвердить факт существования реальных вредоносных программ, использующих этот файл для взлома. Но в российской компании готовы биться об заклад, что скоро такое вирусное ПО точно появится.