Хакеры могут незаметно получать доступ ко всем данным на macOS через Safari

На профильном русскоязычном ресурсе xakep.ru специалист по информационной безопасности Bo0oM подробно описал возможность получения доступа к данным пользователя через браузер Safari. Под угрозой атаки, от которой можно защититься только полностью отказавшись от браузера Apple, пользователи macOS. Для реализации атаки злоумышленникам нужно лишь доставить на компьютер жертвы HTML-документ, пишут AIN.UA.

Основная уязвимость, позволяющая совершить атаку, заключается в особенности выполнения JavaScript для HTML-документов в Safari. Конкретно, речь идет объекте XMLHttpRequest (XHR), который дает возможность из JavaScript делать HTTP-запросы к серверу без перезагрузки страницы. Несмотря на XML в названии, объект позволяет работать с любыми данными: читать содержимое файла и отправлять на указанный сервер.

Safari, как и другие браузеры, по умолчанию не позволяет выполнять XHR-запросы к файлам на жестком диске. Однако, у браузера Apple есть отличительная особенность: если HTML-документ уже сам сохранен на компьютере, такой стандартный запрос можно выполнить к любому локальному файлу. Так хакеры смогут получить содержимое файлов, хранящих SSH-ключи; историю команд, введенных в терминале; куки; информацию о аккаунтах в системе; историю сообщений в мессенджерах и, в принципе, любую информацию.

В качестве способа доставки вредоносного HTML-файла исследователь предложил использовать клиент Telegram для macOS, который не маркирует происхождение переданных через него файлов (флаг Where from). Но в материале отмечается, что таким могут грешить и многие другие приложения. В конце концов, хакеры могут просто подбросить жертве флешку с вредоносным файлом.

Фактически, защититься от этого можно только полностью отказавшись от использования Safari. Однако, файлы с расширениями XHTM и webarchive открываются только в браузере Apple и позволяют выполнять JavaScript.


Павел Красномовец, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Как проверить безопасность ваших расширений в Google ChromeКак проверить безопасность ваших расширений в Google Chrome
Microsoft запустила бесплатную версию корпоративного мессенджера TeamsMicrosoft запустила бесплатную версию корпоративного мессенджера Teams
Opera представила первый мобильный браузер со встроенным криптокошелькомOpera представила первый мобильный браузер со встроенным криптокошельком
NVIDIA создала ИИ, моментально улучшающий изображенияNVIDIA создала ИИ, моментально улучшающий изображения
В Google Chrome появится встроенный определитель «тяжёлых» страницВ Google Chrome появится встроенный определитель «тяжёлых» страниц
Блок рекламы


Похожие новости

Apple представила macOS MojaveApple представила macOS Mojave
Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей
Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профиляхУязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях
iOS и macOS всё-таки получат универсальные приложенияiOS и macOS всё-таки получат универсальные приложения
В Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакерыВ Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакеры
Apple не станет объединять платформы macOS и iOSApple не станет объединять платформы macOS и iOS
В MacOS встроили поддержку внешних видеокартВ MacOS встроили поддержку внешних видеокарт
В uTorrent нашли уязвимость, которая позволяет сайтам получать контроль над ПК
Хакеры заразили тысячи компьютеров майнером Monero. Им удалось заработать более $3 млн
Ошибка в файловой системе Apple приводит к потере данных в macOS High SierraОшибка в файловой системе Apple приводит к потере данных в macOS High Sierra
Последние новости

Подгружаем последние новости