सफारी ब्राउज़र हैक ऑटोफ़िल सुरक्षा संबंधी चिंताएं प्रकट करता है

एक सुरक्षा शोधकर्ता ने ऐप्पल के सफारी वेब ब्राउज़र में एक कमजोरी का खुलासा किया है जिसका प्रयोग हमलावर द्वारा संवेदनशील व्यक्तिगत जानकारी निकालने के लिए किया जा सकता है। सफारी भेद्यता थोड़ा और गंभीर है, लेकिन यह मुद्दा सामान्य रूप से ऑटोफिल के साथ अंतर्निहित गोपनीयता और सुरक्षा चिंताओं को दर्शाता है।

व्हाईटहाट सिक्योरिटी के संस्थापक और सीटीओ यिर्मयाह ग्रॉसमैन ने बताया कि एक हमलावर के लिए एक दुर्भावनापूर्ण वेब फॉर्म का उपयोग करना संभव है सफारी को ऐप्पल एड्रेस बुक में संग्रहीत जानकारी से नाम, पता या ई-मेल पता जैसी संवेदनशील जानकारी को स्वत: भरने का कारण बनता है। यह मुद्दा "मेरे पता पुस्तिका कार्ड से जानकारी का उपयोग करना" फ़ॉर्म भरने के विकल्प का एक कार्य है, जिसे सफारी में डिफ़ॉल्ट रूप से चेक किया जाता है।

ग्रॉसमैन सुझाव देता है कि यह समस्या ओपन सोर्स वेबकिट इंजन पर बनाए गए सभी ब्राउज़रों को प्रभावित करती है-- मैक ओएस एक्स और आईओएस, साथ ही Google क्रोम ब्राउज़र दोनों पर सफारी समेत। हालांकि, सबूत-ऑफ-अवधारणा क्रोम के नवीनतम संस्करण पर काम नहीं करती है, और आईओएस पर काम करने के लिए उपयोगकर्ता हस्तक्षेप की आवश्यकता होती है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

उल्टा है यह सुरक्षा दोष सीमित है - अधिक या कम - मैक ओएस एक्स पर चल रहे सफारी वेब ब्राउज़र पर। लेकिन, चूंकि मैक ओएस एक्स केवल ऑपरेटिंग सिस्टम बाजार का लगभग पांच प्रतिशत बनाता है, और सभी मैक ओएस एक्स उपयोगकर्ता भरोसा नहीं करते हैं वेब ब्राउज़ करने के लिए सफारी पर, इस मुद्दे पर अपेक्षाकृत कम संभावित प्रभाव पड़ता है।

ग्रॉसमैन सफारी ऑटोफिल हैक पर अपने ब्लॉग पोस्ट में इंगित करता है, अन्य ब्राउज़रों या ऑपरेटिंग सिस्टम की ऑटोफिल क्षमताओं के बीच अंतर, और यह विशेष मुद्दा है कि सफारी एक दुर्भावनापूर्ण वेबसाइट का उपयोग करके हमलावर को संवेदनशील डेटा आत्मसमर्पण करेगी "भले ही वे पहले कभी नहीं गए हों या किसी व्यक्तिगत जानकारी में प्रवेश न करें।"

तथ्य यह है कि सफारी हैक उस जानकारी को प्रकट कर सकती है जिसे पहले टाइप नहीं किया गया था दिया गया क्षेत्र इसे एक और गंभीर जारी करता है ue, लेकिन वास्तविकता यह है कि सभी ब्राउज़रों और ऑपरेटिंग सिस्टम में सभी ऑटोफिल सुविधाएं कुछ स्तर पर सुरक्षा और गोपनीयता चिंता का प्रतिनिधित्व करती हैं। ऑटोफिल एक ऐसी सुविधा है जिसके लिए सुविधा के पक्ष में कुछ सुरक्षा और गोपनीयता का आदान-प्रदान करना आवश्यक है।

ऑटोफ़िल को जानकारी संग्रहीत करके जीवन को सरल बनाने के लिए डिज़ाइन किया गया है ताकि अगली बार इसकी आवश्यकता हो जाने पर इसे स्वचालित रूप से दर्ज किया जा सके। इसे अक्सर फॉर्म डेटा के साथ सामना करना पड़ता है जहां उपयोगकर्ता नाम, पता, फोन नंबर, ई-मेल पता इत्यादि जैसे फ़ील्ड भरते हैं। एक बार डेटा ऑटोफिल में संग्रहीत होने के बाद, अगली बार एक समान फॉर्म फ़ील्ड का सामना करना पड़ता है बस फ़ील्ड पर क्लिक करना ऑटोफ़िल में संग्रहीत प्रविष्टियों की एक सूची प्रकट करेगा, या टाइप करने के लिए शुरू होने से ऑटोफ़िल से जानकारी के साथ प्रविष्टि भर जाएगी जो टाइप किए जा रहे मेल से मेल खाता है।

इसी तरह से ग्रॉसमैन सफारी ऑटोफिल हैक का उपयोग करके जानकारी निकालने के लिए उपयोग करता है, एक हमलावर उस जानकारी को भी निकाल सकता है जिसे उपयोगकर्ता ने सामान्य फ़ील्ड के साथ एक दुर्भावनापूर्ण वेब फ़ॉर्म बनाकर ऑटोफिल सुविधा में संग्रहीत किया है और ऑटोफ़िल प्रविष्टियों के मौजूद होने के लिए वर्णमाला के प्रत्येक अक्षर को अदृश्य रूप से परीक्षण कर रहा है।

ऑटोफिल संवेदनशील जानकारी भी प्रकट कर सकता है अन्य तरीकों से भी। वेब ब्राउजर एड्रेस बार की ऑटोफिल फीचर उन यूआरएल को प्रकट कर सकती है, जिनका दौरा किया गया है, और माइक्रोसॉफ्ट एक्सेल जैसे प्रोग्राम्स में ऑटोफिल फीचर डेटा या जानकारी का पर्दाफाश कर सकती है जो पहले अन्य क्षेत्रों में दर्ज की गई थी।

मैं यह सुझाव नहीं दे रहा हूं कि हर कोई त्याग देगा स्वतः भरें और जरूरत पड़ने पर हर बार एक ही जानकारी में थकाऊ टाइपिंग पर वापस जाएं। हालांकि, मैं वकालत कर रहा हूं कि आईटी प्रशासकों और उपयोगकर्ता सामान्य रूप से समझते हैं कि उपयोगकर्ता के लिए सुविधा प्रदान करने वाली वही सुविधाएं भी हमलावर के लिए वहां संग्रहीत डेटा का उल्लंघन या समझौता करने के लिए अधिक सुविधाजनक बनाती हैं।

आप टोनी का अनुसरण कर सकते हैं फेसबुक पेज, या [email protected] पर ईमेल द्वारा उससे संपर्क करें। वह @ टोनी_BradleyPCW के रूप में भी ट्वीट करता है।