Falha no Safari põe em perigo credenciais de
acesso armazenadas
Lisboa, 20 de Dezembro de 2013
Os analistas da Kaspersky Lab alertam para a detecção de uma vulnerabilidade no Safari. O
browser da Apple, como muitos outros, pode restaurar as sessões de navegação prévias. Ou seja,
todos os sites que estavam abertos na sessão anterior – até mesmo os que requerem autenticação
– podem ser restaurados seguindo determinados passos quando se abre o browser. Esta opção
pode ser cómoda para o utilizador, mas nada segura.
Para que o browser saiba o que estava aberto na sessão prévia, a informação sobre essa
actividade tem obrigatoriamente que ser guardada em algum lado. E é evidente que estará num
sítio que não permita o acesso a qualquer pessoa e a informação está codificada. Mas o problema
é que o Safari não codifica as sessões prévias e guarda-as num formato de ficheiro plist comum
que é de fácil acesso. Por esse motivo, acaba por ser relativamente fácil encontrar as credenciais
de início de sessão de um utilizador.
A sessão autorizada completa do site é guardada no ficheiro plist, completamente à vista, apesar
do uso de https no seu endereço. O arquivo em si encontra-se numa pasta oculta, mas que pode
ser lida por qualquer pessoa, bastando activar a vista de pastas e ficheiros ocultos.
O sistema pode abrir um ficheiro plist sem problemas. Guarda informação sobre a sessão guardada
– incluindo os pedidos http codificados usando um simples algoritmo de codificação Base64 - em
formato estruturado.
Existe uma função no Safari - ‘Reabrir todas as janelas da última sessão’ - que permite que os
websites se abram tal como estavam no final da última sessão. É a função utilizada por
LastSession.plist. Esta função está disponível nas seguintes versões do Mac OS X e Safari:
##OSX10.8.5, Safari 6.0.5 (8536.30.1)
##OSX10.7.5, Safari 6.0.5 (7536.30.1)
De acordo com os peritos da Kaspersky Lab, o acesso por parte de hackers ou de um programa
malicioso ao ficheiro LastSession.plist num sistema em que o utilizador se autentica no Facebook,
Twitter, LinkedIn ou conta bancária online, pode causar um sério problema de segurança e
consequentes danos ao património da vítima.
“Guardar informação confidencial não codificada e permitir o acesso a ela sem restrições é uma
séria falha de segurança que oferece aos cibercriminosos a oportunidade de roubar dados aos
utilizadores, e com o mínimo esforço. Já informámos a Apple sobre este problema”, sublinham os
analistas da Kaspersky Lab.
Por agora não foi detectado qualquer código malicioso que aproveite esta vulnerabilidade,
mas não tardará em aparecer se a falha não for rapidamente corrigida pela Apple.
Links de utilidade:
http://newsroom.kaspersky.eu/pt/home/
Sobre a Kaspersky Lab
Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4
maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15 anos de história, a
Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança eficazes para grandes
empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200 países e territórios de todo
mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt.
A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em 2011. Esta
classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC
#235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a venda de soluções de
segurança endpoint em 2011.
Para mais informação, contactar:
LANÇA PALAVRA
Ana Paula
Tel. +351 243107197
Mov: +351 962543653
E-mail: [email protected]
KasperskyLab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
E-mail [email protected]
© A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e serviços da
Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses produtos e serviços.
Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza pelos
erros técnicos ou editoriais ou omissões presentes no texto.