Expertos
en seguridad han detectado esta semana la existencia de una vulnerabilidad en
el navegador web Safari, perteneciente a la compañía tecnológia Apple. Este problema hacía que se restauraran las sesiones de navegación
previas.
De
esta manera, todos los sitios que estaban abiertos en la sesión anterior -hasta
aquellos que requieren autorización- pueden restaurarse siguiendo determinados
pasos cuando se abre el navegador. «Esta opción realmente es cómoda
para el usuario, pero en absoluto segura», han desvelado los
analistas de la compañía de antivirus Kaspersky Lab.
Para
que el navegador sepa qué estaba abierto en la sesión previa, la información al
respecto debe guardarse en algún lado. El problema, dicen los expertos, es que
Safari no codifica las sesiones previas y las guarda en un formato de archivo
plist común «que es de fácil acceso». Por ese motivo, alertan que resultaría
complicado encontrar las credenciales de inicio de sesión del usuario.
La
sesión autorizada completa del sitio se guarda en el archivo plist,
completamente a la vista a pesar de que se usó https. «El archivo en sí se
encuentra en una carpeta oculta, pero cualquiera puede leerlo», desvelan. El
problema, insisten, es que el sistema puede abrir un archivo de
este formato sin problemas. Es la función que utiliza
LastSession.plist. La función está disponible en las siguientes versiones de
Mac OS X y Safari (10.8.5, Safari 6.0.5 y OSX10.7.5, Safari 6.0.5).
Según
los expertos de Kaspersky, sería un «gran problema» que los cibercriminales o
un programa malicioso tuviese acceso al archivo LastSession.plist en un sistema en el que el usuario ingresa a Facebook, Twitter, LinkedIn
o su cuenta bancaria de internet. Almacenar información confidencial
sin codificarla y permitir el acceso a ella sin restricciones es un gran fallo
de seguridad que ofrece a los usuarios maliciosos la oportunidad de robar datos
a los usuarios haciendo un esfuerzo mínimo. Hemos informado a Apple sobre el
problema.
Fuente:
ABC.es
No hay comentarios:
Publicar un comentario