Хакеры могут незаметно получать доступ ко всем данным на macOS через Safari

На профильном русскоязычном ресурсе xakep.ru специалист по информационной безопасности Bo0oM подробно описал возможность получения доступа к данным пользователя через браузер Safari. Под угрозой атаки, от которой можно защититься только полностью отказавшись от браузера Apple, пользователи macOS. Для реализации атаки злоумышленникам нужно лишь доставить на компьютер жертвы HTML-документ, пишут AIN.UA.

Основная уязвимость, позволяющая совершить атаку, заключается в особенности выполнения JavaScript для HTML-документов в Safari. Конкретно, речь идет объекте XMLHttpRequest (XHR), который дает возможность из JavaScript делать HTTP-запросы к серверу без перезагрузки страницы. Несмотря на XML в названии, объект позволяет работать с любыми данными: читать содержимое файла и отправлять на указанный сервер.

Safari, как и другие браузеры, по умолчанию не позволяет выполнять XHR-запросы к файлам на жестком диске. Однако, у браузера Apple есть отличительная особенность: если HTML-документ уже сам сохранен на компьютере, такой стандартный запрос можно выполнить к любому локальному файлу. Так хакеры смогут получить содержимое файлов, хранящих SSH-ключи; историю команд, введенных в терминале; куки; информацию о аккаунтах в системе; историю сообщений в мессенджерах и, в принципе, любую информацию.

В качестве способа доставки вредоносного HTML-файла исследователь предложил использовать клиент Telegram для macOS, который не маркирует происхождение переданных через него файлов (флаг Where from). Но в материале отмечается, что таким могут грешить и многие другие приложения. В конце концов, хакеры могут просто подбросить жертве флешку с вредоносным файлом.

Фактически, защититься от этого можно только полностью отказавшись от использования Safari. Однако, файлы с расширениями XHTM и webarchive открываются только в браузере Apple и позволяют выполнять JavaScript.


Павел Красномовец, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Нет, Google Drive не отключают для украинцев. Объясняем, что произойдет с сервисом
Старые дела в новом году: в компанию Lucky Labs снова пришли с обыскомСтарые дела в новом году: в компанию Lucky Labs снова пришли с обыском
Lucky Labs опровергла обыски СБУ (обновлено)Lucky Labs опровергла обыски СБУ (обновлено)
Блок рекламы


Похожие новости

Через сайт украинского разработчика бухгалтерского ПО распространяли троян ZeuSЧерез сайт украинского разработчика бухгалтерского ПО распространяли троян ZeuS
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOSApple закрыла уязвимости Spectre и Meltdown на macOS и iOS
Google выложила ОС Fuchsia в открытый доступGoogle выложила ОС Fuchsia в открытый доступ
Легендарная ОС от Apple станет открытой и доступной всемЛегендарная ОС от Apple станет открытой и доступной всем
10 приложений, которые помогут создать видео для вашего бизнеса
Доступен традиционный серверный релиз  Fedora 27, а проект Modularity будет переосмысленДоступен традиционный серверный релиз Fedora 27, а проект Modularity будет переосмыслен
Apple выпустила macOS High Sierra 10.13.2Apple выпустила macOS High Sierra 10.13.2
Как получить полный доступ к чужому компьютеру на macOSКак получить полный доступ к чужому компьютеру на macOS
Уязвимость: на macOS High Sierra можно получить права администратора не зная пароля
Microsoft сделает поиск в Windows 10 наподобие macOS SpotlightMicrosoft сделает поиск в Windows 10 наподобие macOS Spotlight
Последние новости

Подгружаем последние новости