Safari plaudert vertrauliche Nutzerdaten aus

Die AutoFill-Funktion von Apples Safari-Webbrowser lässt sich von Websites dazu missbrauchen, heimlich Nutzerdaten aus dem Adressbuch auszulesen. Betroffen sind sowohl Version 4 als auch Version 5 von Safari.

Safaris AutoFill-Funktion (deutsch: "Autom. ausfüllen") soll Websurfern die Eingabe von Daten in Online-Formulare erleichtern. Nach Eingabe von Zeichen in ein Formularfeld versucht die AutoFill-Funktion, die korrekte Zeichenkette zu ergänzen. Dabei greift die AutoFill-Funktion unter Umständen auch auf Einträge im lokalen Adressbuch von Mac OS X zurück. Dieser Umstand lässt sich von Angreifern dazu ausnutzen, mit Hilfe einer präparierten Webseite unbemerkt vom Nutzer dessen vertrauliche Daten aus dem Adressbuch auszulesen und zu übertragen. Das berichtet der Sicherheitsspezialist Jeremiah Grossman in einem Blog-Eintrag.

Um an die Daten zu gelangen, nutzt eine präparierte Webseite unsichtbare Eingabefelder beispielsweise für Name, Adresse und E-Mail-Adresse. Für jedes dieser Eingabefelder wird solange unsichtbar der Reihe nach jeder Buchstabe des Alphabets als Wortanfang eingetragen, bis die AutoFill-Funktion den Eintrag mit persönlichen Daten aus dem Adressbuch ergänzt. Sind alle Felder ausgefüllt, werden die gesammelten Daten unbemerkt an die Website der Angreifer übertragen. Danach können sie beispielsweise für Spam-Versand oder Identitätsdiebstahl missbraucht werden.

Die AutoFill-Funktion ist von Hause aus aktiviert und muss manuell deaktiviert werden, um einen derartigen Missbrauch zu verhindern. Um die Funktion zu deaktivieren, müssen Sie unter "Einstellungen -> Autom. ausfüllen" das Häkchen vor "Informationen meiner Adressbuch-Visitenkarte übernehmen" entfernen.

Safari-AutoFill-Funktioπ: (anklicken für Demonstration)