Старые версии Safari хранят пароли сессий в незашифрованном виде

Никита Горяинов avatar | 24
FavoriteLoading В закладки

Известный факт: стандартный браузер является основным для большинства владельцев iPhone и iPad. На OS X дела обстоят куда разнообразнее. Но если вы гордо игнорируете Chrome, не собираетесь устанавливать Mozilla Firefox и не помните, что такое Opera, вам стоит проверить версию своего любимого Safari. Оказывается, старые редакции программы хранят пароли от открытых сессий в виде текста, доступного каждому, кто сможет открыть определённый файл на вашем компьютере.

В Safari с давних пор есть функция восстановления предыдущей интернет-сессии, в рамках которой браузер открывает все окна и страницы, которые были запущены в момент закрытия программы. Это очень удобно, но одновременно довольно-таки опасно для личных данных пользователя. Уязвимость в этом механизме была обнаружена Лабораторией Касперского. Как пишет специалист Вячеслав, Safari сохраняет пароли от всех страниц предыдущей интернет-сессии в чистой текстовой форме. Достаточно открыть файл LastSession.plist в скрытой папке внутри пакета программы, чтобы увидеть все пароли ранее открытых страниц, даже если они были защищены протоколом HTTPS.

Уязвимости подвержен Safari 6.0.5, установленный на OS X 10.8.5 (Mountain Lion) и OS X 10.7.5 (Lion). Всем, кто пользуется этой версией браузера, рекомендуем на всякий случай обновиться до Safari 6.1 на официальном сайте Apple. [macrumors]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (1 голосов, общий рейтинг: 4.00 из 5)
undefined
iPhones.ru
Известный факт: стандартный браузер является основным для большинства владельцев iPhone и iPad. На OS X дела обстоят куда разнообразнее. Но если вы гордо игнорируете Chrome, не собираетесь устанавливать Mozilla Firefox и не помните, что такое Opera, вам стоит проверить версию своего любимого Safari. Оказывается, старые редакции программы хранят пароли от открытых сессий в виде текста,...
Прокомментировать

🙈 Комментарии 24

  1. Jaster avatar
    Jaster15 декабря 2013
    0

    Это ж надо иметь доступ к компьютеру..

    Whilser avatar
    Whilser15 декабря 2013
    0

    @Jaster, Теоретически, любая программа (обычная или троянская) может получить доступ к файловой системе компьютера и, просканировав содержание некоторых файлов, отослать их злоумышленнику.

    vozz avatar
    vozz15 декабря 2013
    0

    @Whilser,
    Врядли любая прога ,у нее должны быть капабилити на уровне системных файлов. А они обычно имеют уровень песочницы которой ей отведенно ;)

    Whilser avatar
    Whilser15 декабря 2013
    0

    @vozz, А вот тут вступает социальная инженерия ))) И потом, песочницу заставляют использовать только для приложений из AppStore. Поводов для ввода системного пароля можно найти уйму, и обычный пользователь (если он знает пароль) вводит его не задумываясь.

    vozz avatar
    vozz15 декабря 2013
    0

    @Whilser,
    Если бы так было просто ,то каждый второй на своем ios устройстве ,ставил бы твики без джейла ;)

    Whilser avatar
    Whilser15 декабря 2013
    0

    @vozz,

    Уязвимости подвержен Safari 6.0.5, установленный на OS X 10.8.5 (Mountain Lion) и OS X 10.7.5 (Lion).

    Где здесь слово про iOS?

    Lefechka avatar
    Lefechka15 декабря 2013
    0

    @Whilser, с чего вдруг меня система будет спрашивать пароль?
    Приложения давно выбраны, установлены и исправно работают. Обновляются автоматически. Я не собираюсь вносить никаких изменений, потому единственный пароль, который может у меня спросить система от учётной записи AppleID при работе в тунце или аппстор.
    Твой вариант – это как раз расчёт на тех, кто продолжает реагировать на смс-спам.

    Lefechka avatar
    Lefechka15 декабря 2013
    0

    И на кого и ориентированы, главным образом, “страшилки” господина Касперского.

  2. RysMax2 avatar
    RysMax215 декабря 2013
    0

    Каспер молодец!
    Возьми с полочки пирожок.
    Но твой антивирь все-равно не поставлю.

  3. iLexa avatar
    iLexa15 декабря 2013
    0

    Вот как-то совершенно пофиг, ибо всегда везде последняя версия браузера. Но достаточно занимательный факт.

  4. LDN avatar
    LDN15 декабря 2013
    0

    В последних версиях гугл хром вообще жжот… У него в настройках можно посмотреть все сохраненные пароли… Даже интерфейс имеется и экспорт для удобства и не надо по реестрам и скрытым файлам шарить!

    revizer avatar
    revizer16 декабря 2013
    0

    @LDN, Chrome должен был предложить зашифровать пароли словом-ключом. Посмотреть и экспортнуть пароли можно только зная этот ключ.

    В Safari также. Safari 7 > Настройки > Пароли
    Ключ шифрующий пароли, ваш системный пароль.

    LDN avatar
    LDN16 декабря 2013
    0

    @revizer, только 99,9% пользователей об этом не знают!
    И хром об этом молчит при установке или обновлении…

  5. Lefechka avatar
    Lefechka15 декабря 2013
    0

    Касперский как всегда в своём репертуаре. Что из всех его “предсказаний” сбылось ? Ничего
    И странный какой-то способ поиска в старых версиях :)

    RysMax2 avatar
    RysMax215 декабря 2013
    0

    @Lefechka, просто нужно бабло!!!
    Очень нужно, вот и крутиться как уж на сковороде.

  6. vozz avatar
    vozz15 декабря 2013
    0

    Интересный смотреть не пассы а поисковые запросы которые вводит пользователь ,на ios это файл RecentSearches.plist

  7. PAHAN avatar
    PAHAN15 декабря 2013
    0

    Касперскому никогда не верил и не собираюсь, это гнилая контора. Пусть говорят что хотят, пропускаю мимо ушей.

    vozz avatar
    vozz15 декабря 2013
    0

    @PAHAN,
    Вы что ? Это лучший антивирус для видны ;)

    RysMax2 avatar
    RysMax215 декабря 2013
    0

    @PAHAN, Не уверен насчет конторы, но насчет его самого и его антивируса – поддерживаю!!!

  8. grausasha avatar
    grausasha16 декабря 2013
    0

    В отличии от Винды на Мак пользователи зачастую обновляются НАМНОГО чаще )) поэтому нашли какую-то “дырку” в версии годовалой давности и теперь повод для гордости у Касперского есть ) Проводили семинары в Италии – агетировали на использование своего продукта на ОС Мак – а толку-то? )) пока все что было сказано представителями Касперского на семинаре, наполовину высосано из пальца :) из серии – а вдруг, а что если… :)

    Vladshee avatar
    Vladshee16 декабря 2013
    0

    @grausasha, вообще то это винда обновляется намного чаще, даже тут писали, что лайфтайм какого нибудь бага может достигать 10 месяцев

    grausasha avatar
    grausasha16 декабря 2013
    0

    @Vladshee, насчет лайф-тайм не знаю ) а что касается эппловского ПО тут они оперативно все решают, а сафари – это их бородатая разработка

    grausasha avatar
    grausasha16 декабря 2013
    0

    @grausasha, и + имелось виду не сама ОС, а ПО которое под нее идет…

  9. salis avatar
    salis16 декабря 2013
    0

    ой ой как опасно то!….

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь