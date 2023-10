Det betyr at iPhones og Macer er utsatt. Problemet ligger i hvordan Safari automatisk fyller inn informasjon i skjemaer. Feilen har fått kallenavnet “iLeakage.”

Arstechnica forklarer hvordan det fungerer: “Når brukeren besøker den farlige nettsiden med en sårbar macOS- eller iOS-enhet, bruker siden JavaScript i det skjulte for å åpne et eget nettsted etter angriperens valg og gjenoppretter innholdet på nettstedet som gjengis i et popup-vindu.”

Kort fortalt: uten at brukeren er klar over det jobber en JavaScript-side i bakgrunnen for å hente ut ting som YouTube-historikk og innholdet i en Gmail-innboks når brukeren er logget inn. De kan til og med hente ut passord om det fylles ut automatisk. Deretter trenger teknikken fem minutter for å sikte seg inn på mål-maskinen og i snitt 30 sekunder for å hente ut informasjonen. headtopics.com

“iLeakage viser at Spectre-angrepet fortsatt er relevant og kan utnyttes, selv etter nesten seks års innsats for å stoppe den. Vi viser hvordan en angriper kan bruke Safari til å gjengi en vilkårlig nettside, og deretter gjenopprette sensitiv informasjon som finnes i den ved bruk av spekulativ kjøring. Vi avslører hvordan Safari lar en ondsinnet nettside gjenopprette hemmeligheter fra populære mål med høy verdi, for eksempel innhold i Gmail-innbokser.

Sikkerhetsforskerne avslørte hullene ovenfor Apple 12. september 2022, altså 408 dager før de offentliggjorde. Apple uttaler at de kjenner til feilen og jobber med å tette hullet i en kommende oppdatering. Fordi alle nettlesere må bruke Apple WebKit, er alle nettlesere utsatt. headtopics.com

Les mer:

ITavisen

