Tweet

0

Goedgelovige Safari-browser laat identiteitsdiefstal toe

Vergiftigde cookie kaapt beveiligde surfsessie

Britse en Australische gebruikers die het web op gaan met Safari lopen het risico om hun wachtwoordgegevens te verspelen door een lek in de Apple-browser.

Het lek is alleen gevaarlijk wanneer een gebruiker inlogt op een beveiligde website met een tweeledige domeinextensie, zoals co.uk en co.au. Omdat Safari deze topleveldomeinen (TLD) anders behandelt dan domeinen met enkele uitgangen als .nl en .be kan een aanvaller een cookie naar binnen smokkelen die zogenoemde session fixation-aanvallen mogelijk maakt.

Cookies zijn kleine tekstbestandjes die persoonlijke voorkeuren bewaren op de computer van een gebruiker. Ze worden vaak gebruikt om inloggegevens te bewaren. Safari gebruikt het besmette exemplaar vervolgens wanneer een gebruiker inlogt bij zijn e-mail of netwerksite, waarna de aanvaller zijn wachtwoord kan buitmaken.

Cross-site cooking
Safari gebruikt vervolgens dezelfde cookie wanneer een surfer zijn wachtwoord invoert op een andere beveiligde site binnen hetzelfde tweeledige topleveldomein. Dit verschijnsel staat bekend als cross-site cooking. Door de goedgelovigheid van de browser kan een aanvaller in één klap de identiteit kapen bij meerdere webapplicaties.

Nog geen patch
Het lek werd ontdekt door hacker Alex “Kuza 55”. Het is de tweede keer binnen korte tijd dat de browser via een achterdeur gevaarlijke aanvallen toelaat. Er is nog geen nieuws voor een patch onder de horizon.

Volgens Heise Security was de kwetsbaarheid ook in andere grote browsers als Internet Explorer en Firefox een probleem. Maar zij hebben er ruim vier jaar geleden al korte metten mee gemaakt. 

bron: ZDNet