Хакеры могут незаметно получать доступ ко всем данным на macOS через Safari

На профильном русскоязычном ресурсе xakep.ru специалист по информационной безопасности Bo0oM подробно описал возможность получения доступа к данным пользователя через браузер Safari. Под угрозой атаки, от которой можно защититься только полностью отказавшись от браузера Apple, пользователи macOS. Для реализации атаки злоумышленникам нужно лишь доставить на компьютер жертвы HTML-документ, пишут AIN.UA.

Основная уязвимость, позволяющая совершить атаку, заключается в особенности выполнения JavaScript для HTML-документов в Safari. Конкретно, речь идет объекте XMLHttpRequest (XHR), который дает возможность из JavaScript делать HTTP-запросы к серверу без перезагрузки страницы. Несмотря на XML в названии, объект позволяет работать с любыми данными: читать содержимое файла и отправлять на указанный сервер.

Safari, как и другие браузеры, по умолчанию не позволяет выполнять XHR-запросы к файлам на жестком диске. Однако, у браузера Apple есть отличительная особенность: если HTML-документ уже сам сохранен на компьютере, такой стандартный запрос можно выполнить к любому локальному файлу. Так хакеры смогут получить содержимое файлов, хранящих SSH-ключи; историю команд, введенных в терминале; куки; информацию о аккаунтах в системе; историю сообщений в мессенджерах и, в принципе, любую информацию.

В качестве способа доставки вредоносного HTML-файла исследователь предложил использовать клиент Telegram для macOS, который не маркирует происхождение переданных через него файлов (флаг Where from). Но в материале отмечается, что таким могут грешить и многие другие приложения. В конце концов, хакеры могут просто подбросить жертве флешку с вредоносным файлом.

Фактически, защититься от этого можно только полностью отказавшись от использования Safari. Однако, файлы с расширениями XHTM и webarchive открываются только в браузере Apple и позволяют выполнять JavaScript.


Павел Красномовец, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Новое обновление Windows 10 выдаёт «синий экран смерти»Новое обновление Windows 10 выдаёт «синий экран смерти»
Chrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 годуChrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 году
Adobe выпустит полноценный Photoshop для iPadAdobe выпустит полноценный Photoshop для iPad
Владелец Winamp перезапустит плеер в 2019 годуВладелец Winamp перезапустит плеер в 2019 году
ESET обнаружила в Украине новый вирус, похожий на тот, что обесточил Прикарпатье в 2015-мESET обнаружила в Украине новый вирус, похожий на тот, что обесточил Прикарпатье в 2015-м
Блок рекламы


Похожие новости

Chrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 годуChrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 году
Apple выпустила настольную ОС macOS MojaveApple выпустила настольную ОС macOS Mojave
Apple объявила даты выхода новых версий iOS, macOS, watchOS и tvOSApple объявила даты выхода новых версий iOS, macOS, watchOS и tvOS
Разработчик выпустил эмулятор Windows 95 для macOS, Windows и LinuxРазработчик выпустил эмулятор Windows 95 для macOS, Windows и Linux
Google высмеяла недостатки Windows и macOSGoogle высмеяла недостатки Windows и macOS
Google Chrome стал доступен на VR-устройствах Daydream ViewGoogle Chrome стал доступен на VR-устройствах Daydream View
Apple представила macOS MojaveApple представила macOS Mojave
Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей
Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профиляхУязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях
iOS и macOS всё-таки получат универсальные приложенияiOS и macOS всё-таки получат универсальные приложения
Последние новости

Подгружаем последние новости