Хакеры могут незаметно получать доступ ко всем данным на macOS через Safari

На профильном русскоязычном ресурсе xakep.ru специалист по информационной безопасности Bo0oM подробно описал возможность получения доступа к данным пользователя через браузер Safari. Под угрозой атаки, от которой можно защититься только полностью отказавшись от браузера Apple, пользователи macOS. Для реализации атаки злоумышленникам нужно лишь доставить на компьютер жертвы HTML-документ, пишут AIN.UA.

Основная уязвимость, позволяющая совершить атаку, заключается в особенности выполнения JavaScript для HTML-документов в Safari. Конкретно, речь идет объекте XMLHttpRequest (XHR), который дает возможность из JavaScript делать HTTP-запросы к серверу без перезагрузки страницы. Несмотря на XML в названии, объект позволяет работать с любыми данными: читать содержимое файла и отправлять на указанный сервер.

Safari, как и другие браузеры, по умолчанию не позволяет выполнять XHR-запросы к файлам на жестком диске. Однако, у браузера Apple есть отличительная особенность: если HTML-документ уже сам сохранен на компьютере, такой стандартный запрос можно выполнить к любому локальному файлу. Так хакеры смогут получить содержимое файлов, хранящих SSH-ключи; историю команд, введенных в терминале; куки; информацию о аккаунтах в системе; историю сообщений в мессенджерах и, в принципе, любую информацию.

В качестве способа доставки вредоносного HTML-файла исследователь предложил использовать клиент Telegram для macOS, который не маркирует происхождение переданных через него файлов (флаг Where from). Но в материале отмечается, что таким могут грешить и многие другие приложения. В конце концов, хакеры могут просто подбросить жертве флешку с вредоносным файлом.

Фактически, защититься от этого можно только полностью отказавшись от использования Safari. Однако, файлы с расширениями XHTM и webarchive открываются только в браузере Apple и позволяют выполнять JavaScript.


Павел Красномовец, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
OC Windows заблокировала программу uTorrentOC Windows заблокировала программу uTorrent
Opera закрывает свое бесплатное VPN-приложение
Украинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работуУкраинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работу
Amazon создал собственный браузер и назвал его InternetAmazon создал собственный браузер и назвал его Internet
Microsoft отложила глобальное обновление Windows 10 из-за «синего экрана смерти»Microsoft отложила глобальное обновление Windows 10 из-за «синего экрана смерти»
Блок рекламы


Похожие новости

Apple не станет объединять платформы macOS и iOSApple не станет объединять платформы macOS и iOS
В MacOS встроили поддержку внешних видеокартВ MacOS встроили поддержку внешних видеокарт
В uTorrent нашли уязвимость, которая позволяет сайтам получать контроль над ПК
Хакеры заразили тысячи компьютеров майнером Monero. Им удалось заработать более $3 млн
Ошибка в файловой системе Apple приводит к потере данных в macOS High SierraОшибка в файловой системе Apple приводит к потере данных в macOS High Sierra
На iOS и macOS новый баг. Символ перезагружает устройства и блокирует приложения
Apple «научит» macOS запускать приложения для iPhone и iPadApple «научит» macOS запускать приложения для iPhone и iPad
Apple выпустила macOS High Sierra 10.13.3Apple выпустила macOS High Sierra 10.13.3
Через сайт украинского разработчика бухгалтерского ПО распространяли троян ZeuSЧерез сайт украинского разработчика бухгалтерского ПО распространяли троян ZeuS
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOSApple закрыла уязвимости Spectre и Meltdown на macOS и iOS
Последние новости

Подгружаем последние новости