[youtube]http://www.youtube.com/watch?v=nONC_sFn2Yw[/youtube]
Dans le clip vidéo ci-dessus vous avez une petite démonstration de la méthode par laquelle une personne malveillante peut accéder à toutes vos données personnelles enregistrées dans Safari. Il semble que la fonction "Autofill", qui complète automatiquement les champs de texte dans Safari, contienne une vulnérabilité et en exécutant un simple exploit, un site Web peut accéder à tous les mots enregistrés dans Safari : Nom, Adresse, e-mail, informations stockées dans le Carnet d'adresses. La vidéo est réalisée par Jérémie Grossman, expert en sécurité de WhiteHat, et vise à avertir les utilisateurs des risques auxquels ils s'exposent en utilisant la fonction « Autofill » de Safari.
Tout ce qu'un site Web malveillant aurait à faire pour extraire subrepticement les données de la carte du carnet d'adresses de Safari serait de créer dynamiquement des champs de texte de formulaire portant les noms susmentionnés, probablement de manière invisible, puis de simuler des événements de frappe AZ à l'aide de JavaScript. Lorsque les données sont renseignées, c'est-à-dire remplies automatiquement, elles peuvent être consultées et envoyées à l'attaquant.
Il semble que ce code utilisé pour accéder aux données ne fonctionne pas non plus dans le cas d'entrées commençant par des chiffres, par exemple celles du numéro de téléphone ou des adresses commençant par le numéro de la rue. Jeremiah Grossman a envoyé une notification concernant cette vulnérabilité à Apple le 17 juin, mais jusqu'à présent, il n'a reçu aucune nouvelle d'Apple, et comme vous pouvez le voir dans la vidéo, Apple n'a pas non plus pris la peine de résoudre le problème.
Je pensais qu'Apple apprécierait peut-être une divulgation de vulnérabilité avant le débat public, ce que j'ai fait le 17 juin 2010, avec des détails techniques. Une réponse automatique joyeuse est arrivée peu de temps après, à laquelle j'ai répondu en demandant si Apple était déjà au courant du problème. Je n'ai reçu aucune réponse par la suite, ni humaine ni robot. Je ne sais pas quand ou si Apple envisage de résoudre le problème, ni même s'ils en sont conscients, mais heureusement, les utilisateurs de Safari n'ont qu'à désactiver les formulaires Web AutoFill pour se protéger.
Faites attention à la façon dont vous travaillez avec Safari et à l'endroit où vous saisissez vos données, cette vulnérabilité existe depuis un certain temps et il est très possible que vous soyez déjà la proie d'un site Web qui utilise le code qui expose la vulnérabilité. Ce serait une bonne idée d'utiliser un autre navigateur jusqu'à ce qu'Apple décide de résoudre ce problème.
