Discussion :

[Idelways]

Safari: faille critique dans l'auto-complétion
qui permettrait le vol d'informations critiques, Chrome pourrait aussi être touché



WhiteHat Security, compagnie spécialisée dans la protection des données critiques sur le web, vient de dévoiler une faille critique dans le navigateur Safari de Apple. Cette faille permettrait aux pirates de voler des informations personnelles enregistrées dans le carnet d'adresses d’OS X.

Ces attaques exploitent la fonctionnalité d'auto-complétion du navigateur (renseignement automatique d'un formulaire) pour y extirper des informations personnelles sans l'aval de l'utilisateur.

Il suffit qu'un site web malicieux crée dynamiquement un formulaire avec des champs de texte et des noms appropriés, comme "Adresse" ou "Carte de crédit" et simule les pressions des touches A-Z en JavaScript pour que le navigateur remplisse automatiquement ces champs. Il ne reste alors qu'à transmettre le formulaire pour voler ces informations.

Cette technique fonctionnerait même si les champs sont cachés dans la page, explique Jeremiah Grossman, responsable technique de WhiteHat Security sur son blog.

Grossman affirme qu'il a signalé cette vulnérabilité à Apple le 17 juin dernier et qu'il n'a reçu pour l'heure aucune réponse.

Il n'est pas clair pour l'instant si la vulnérabilité touche uniquement Safari 4 et 5 ou tous les navigateurs fondés sur le moteur de rendu WebKit ...dont Google Chrome. Il est donc recommandé aux utilisateurs des deux navigateurs de désactiver cette option en attendant le correctif.

Google n'a pas commenté la faille mais a affirmé que l'auto-complétion sur Chrome nécessiterait une confirmation qui ne pourrait pas être mimée en JavaScript.

Apple n'a pas donné des détails sur cette vulnérabilité mais a admis que « prenant très au sérieux la sécurité et la confidentialité, nous sommes au courant du problème et travaillons sur un correctif ».

Aucun exploit n'est à ce jour repéré. Mais la facilité de l'exploitation de la faille – et la difficulté à la repérer (aucun malware n'est installé) – laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.


Source : Blog de Jeremiah Grossman



Lire aussi :

Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft

Apple aide le développement de Chromeet corrige deux failles majeures de sécurité du navigateur de Google

Chrome : 3.133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla

Google veut réinventer les règles de divulgation des failles *avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs




Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Mac
Développement Web



En collaboration avec Gordon Fowler

[argonath]

Je ne comprends pas trop pourquoi chrome est cité, le moteur de rendu ne sert à rien pour l'autocomplétion non ?

[cs_ntd]

Mais je pense que l'activation (de manière cachée) de l'autocomplétion et sa validation dépendent du moteur de rendu car il est chargé de l'execution du JS, donc ici de WebKit.

Donc a priori, sur IE ou Mozilla on ne peut pas activer l'autocomplétion par js ? Ont-ils testés ces 2 navigateurs ?


Edit : si ça marche pour chrome, ça rentre en compte pour les 3133,7$ de récompense ? ça peut être considéré comme une faille critique là

[cbleas]

non ce n'est pas possible il n'y a pas que microsoft qui a des failles?

[cs_ntd]

non ce n'est pas possible il n'y a pas que microsoft qui a des failles?

Oula

Fait attention mon p'tit gars, c'est un terrain dangereux sur lequel tu t'aventures, ça peut dégénerer en guerre nucléaire un troll comme ça

[cbleas]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Citation:
Envoyé par cbleas  
non ce n'est pas possible il n'y a pas que microsoft qui a des failles?
Oula

c'est pas un troll mais si google paie des chercheurs pour trouver les failles des concurrents c'est qu'il n'y a plus de travail pour eux sur ces propres produits.

[Louis Griffont]

Pour moi, c'est un hoax ! Apple est une boite sans faille ! Et Google est une boite garantissant un OS inexistant sans faille et sans bug.

[cs_ntd]

Google est une boite garantissant un OS inexistant sans faille et sans bug.

bien vu

[JeitEmgie]

…– laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.

… encore faut-il attirer du chaland sur un site dont les pages web seraient spécialement conçues avec ce code JavaScript - donc avec un formulaire à remplir - pour profiter du fait que le remplissage automatique puisse (et cela seulement si l'option est activée dans les préférences) accéder aux données personnelles de l'utilisateur dans le Carnet d'Adresses (nom prénom adresse tél fax gsm emails)…

… on a déjà vu plus "rentable" - du côté du pirate s'entend - pour collecter les informations personnelles en grande quantité… (là une heure de Google hacking ramènerait des milliers de profils sans trop se fatiguer…) et dont l'exploitation - frauduleuse ou non - pourrait être payante à très court terme…

[Grimly_old]

Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.

[JeitEmgie]

Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.

Vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

Une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
le pigeon qui sommeille en vous les leur fournit gracieusement…

le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…

[Lyche]

vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
le pigeon qui sommeille en vous les leur fournit gracieusement…

le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…

Vive le Fishing et les personnes qui manquent d'attention quand elles naviguent.

[Marcos Ickx]

Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.

Un proof of concept a été fait et est disponible ici : http://ha.ckers.org/weird/safari_autofill.html

Et ce proof of concept prouve que le problème touche également Google Chrome (j'ai été sur cette page avec Google Chrome, et j'y ai vu mon adresse, code postal, ... qui apparaissait de temps à autre)

Aussi, il semble que cela ne touche pas Safari tournant sur iPhone et iPad. C'est déjà çà.

[JeitEmgie]

Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.

la conversation a dévié sur le fishing parce Grimly a évoqué le vol des coordonnées bancaires via cette faille liée à l'auto-completion…

mais qui met ses coordonnées bancaires dans sa fiche perso du Carnet d'Adresses…

[Marcos Ickx]

Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli.
Et pourtant, le proof of concept que j'ai fait tourner sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ...

Donc, pourquoi pas mon numéro de carte bancaire ?

[JeitEmgie]

Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli.
Et pourtant, le proof of concept que j'ai fait tourné sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ...

Donc, pourquoi pas mon numéro de carte bancaire ?

certes…
toute donnée de la fiche d'un Carnet d'Adresse est susceptible d'être exportée…

mais apparemment sous Safari et sous Mac, (donc dans le contexte original du problème rencontré…)
les champs commençant par un nombre ne sont pas touchés… l'auto-fill de Safari ne prévoit pas le remplissage de ces champs… donc les n° de tél ne sont pas touchés non pus…

Mais de toute évidence, on n'est qu'au début de l'exploration de ce qui est exploitable par ce concept…