Safari: faille critique dans l'auto-complétion qui permettrait le vol d'informations critiques

Idelways · 23/07/2010, 11h55

Safari: faille critique dans l'auto-complétion
qui permettrait le vol d'informations critiques, Chrome pourrait aussi être touché

WhiteHat Security, compagnie spécialisée dans la protection des données critiques sur le web, vient de dévoiler une faille critique dans le navigateur Safari de Apple. Cette faille permettrait aux pirates de voler des informations personnelles enregistrées dans le carnet d'adresses d’OS X.

Ces attaques exploitent la fonctionnalité d'auto-complétion du navigateur (renseignement automatique d'un formulaire) pour y extirper des informations personnelles sans l'aval de l'utilisateur.

Il suffit qu'un site web malicieux crée dynamiquement un formulaire avec des champs de texte et des noms appropriés, comme "Adresse" ou "Carte de crédit" et simule les pressions des touches A-Z en JavaScript pour que le navigateur remplisse automatiquement ces champs. Il ne reste alors qu'à transmettre le formulaire pour voler ces informations.

Cette technique fonctionnerait même si les champs sont cachés dans la page, explique Jeremiah Grossman, responsable technique de WhiteHat Security sur son blog.

Grossman affirme qu'il a signalé cette vulnérabilité à Apple le 17 juin dernier et qu'il n'a reçu pour l'heure aucune réponse.

Il n'est pas clair pour l'instant si la vulnérabilité touche uniquement Safari 4 et 5 ou tous les navigateurs fondés sur le moteur de rendu WebKit ...dont Google Chrome. Il est donc recommandé aux utilisateurs des deux navigateurs de désactiver cette option en attendant le correctif.

Google n'a pas commenté la faille mais a affirmé que l'auto-complétion sur Chrome nécessiterait une confirmation qui ne pourrait pas être mimée en JavaScript.

Apple n'a pas donné des détails sur cette vulnérabilité mais a admis que « prenant très au sérieux la sécurité et la confidentialité, nous sommes au courant du problème et travaillons sur un correctif ».

Aucun exploit n'est à ce jour repéré. Mais la facilité de l'exploitation de la faille – et la difficulté à la repérer (aucun malware n'est installé) – laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.

Source : Blog de Jeremiah Grossman

Lire aussi :

Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft

Apple aide le développement de Chromeet corrige deux failles majeures de sécurité du navigateur de Google

Chrome : 3.133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla

Google veut réinventer les règles de divulgation des failles *avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

Les rubriques (actu, forums, tutos) de Développez :

Sécurité

Mac

Développement Web

En collaboration avec Gordon Fowler

argonath · 23/07/2010, 12h37

Je ne comprends pas trop pourquoi chrome est cité, le moteur de rendu ne sert à rien pour l'autocomplétion non ?

cs_ntd · 23/07/2010, 12h54

Mais je pense que l'activation (de manière cachée) de l'autocomplétion et sa validation dépendent du moteur de rendu car il est chargé de l'execution du JS, donc ici de WebKit.

Donc a priori, sur IE ou Mozilla on ne peut pas activer l'autocomplétion par js ? Ont-ils testés ces 2 navigateurs ?

Edit : si ça marche pour chrome, ça rentre en compte pour les 3133,7$ de récompense ? ça peut être considéré comme une faille critique là

cbleas · 23/07/2010, 12h55

non ce n'est pas possible il n'y a pas que microsoft qui a des failles?

cs_ntd · 23/07/2010, 12h57

Citation:

Envoyé par cbleas

non ce n'est pas possible il n'y a pas que microsoft qui a des failles?

Oula

Fait attention mon p'tit gars, c'est un terrain dangereux sur lequel tu t'aventures, ça peut dégénerer en guerre nucléaire un troll comme ça

cbleas · 23/07/2010, 13h12

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Citation:
Envoyé par cbleas  
non ce n'est pas possible il n'y a pas que microsoft qui a des failles?
Oula

c'est pas un troll mais si google paie des chercheurs pour trouver les failles des concurrents c'est qu'il n'y a plus de travail pour eux sur ces propres produits.

Louis Griffont · 23/07/2010, 13h24

Pour moi, c'est un hoax ! Apple est une boite sans faille ! Et Google est une boite garantissant un OS inexistant sans faille et sans bug.

cs_ntd · 23/07/2010, 13h26

Citation:

Envoyé par Louis Griffont

Google est une boite garantissant un OS inexistant sans faille et sans bug.

bien vu

JeitEmgie · 23/07/2010, 14h17

Citation:

Envoyé par Idelways

…– laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.

… encore faut-il attirer du chaland sur un site dont les pages web seraient spécialement conçues avec ce code JavaScript - donc avec un formulaire à remplir - pour profiter du fait que le remplissage automatique puisse (et cela seulement si l'option est activée dans les préférences) accéder aux données personnelles de l'utilisateur dans le Carnet d'Adresses (nom prénom adresse tél fax gsm emails)…

… on a déjà vu plus "rentable" - du côté du pirate s'entend - pour collecter les informations personnelles en grande quantité… (là une heure de Google hacking ramènerait des milliers de profils sans trop se fatiguer…) et dont l'exploitation - frauduleuse ou non - pourrait être payante à très court terme…

Grimly · 23/07/2010, 14h53

Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.

JeitEmgie · 23/07/2010, 15h34

Citation:

Envoyé par Grimly

Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.

Vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

Une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
le pigeon qui sommeille en vous les leur fournit gracieusement…

le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…

Lyche · 23/07/2010, 15h46

Citation:

Envoyé par JeitEmgie

vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
le pigeon qui sommeille en vous les leur fournit gracieusement…

le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…

Vive le Fishing et les personnes qui manquent d'attention quand elles naviguent.

Marcos Ickx · 23/07/2010, 20h49

Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.

Un proof of concept a été fait et est disponible ici : http://ha.ckers.org/weird/safari_autofill.html

Et ce proof of concept prouve que le problème touche également Google Chrome (j'ai été sur cette page avec Google Chrome, et j'y ai vu mon adresse, code postal, ... qui apparaissait de temps à autre)

Aussi, il semble que cela ne touche pas Safari tournant sur iPhone et iPad. C'est déjà çà.

JeitEmgie · 23/07/2010, 21h29

Citation:

Envoyé par Marcos Ickx

Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.

la conversation a dévié sur le fishing parce Grimly a évoqué le vol des coordonnées bancaires via cette faille liée à l'auto-completion…

mais qui met ses coordonnées bancaires dans sa fiche perso du Carnet d'Adresses…

Marcos Ickx · 23/07/2010, 22h06

Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli.
Et pourtant, le proof of concept que j'ai fait tourner sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ...

Donc, pourquoi pas mon numéro de carte bancaire ?

JeitEmgie · 24/07/2010, 09h28

Citation:

Envoyé par Marcos Ickx

Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli.
Et pourtant, le proof of concept que j'ai fait tourné sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ...

Donc, pourquoi pas mon numéro de carte bancaire ?

certes…
toute donnée de la fiche d'un Carnet d'Adresse est susceptible d'être exportée…

mais apparemment sous Safari et sous Mac, (donc dans le contexte original du problème rencontré…)
les champs commençant par un nombre ne sont pas touchés… l'auto-fill de Safari ne prévoit pas le remplissage de ces champs… donc les n° de tél ne sont pas touchés non pus…

Mais de toute évidence, on n'est qu'au début de l'exploration de ce qui est exploitable par ce concept…

23/07/2010, 11h55	#1
Idelways Coordinateur publications Développeur Ruby on Rails / iOS et journaliste Inscription : juin 2010 Messages : 1 101 Détails du profil Informations professionnelles : Activité : Développeur Ruby on Rails / iOS et journaliste Informations forums : Inscription : juin 2010 Messages : 1 101 Points : 24 226 Points : 24 226	Safari: faille critique dans l'auto-complétion qui permettrait le vol d'informations critiques Safari: faille critique dans l'auto-complétion qui permettrait le vol d'informations critiques, Chrome pourrait aussi être touché WhiteHat Security, compagnie spécialisée dans la protection des données critiques sur le web, vient de dévoiler une faille critique dans le navigateur Safari de Apple. Cette faille permettrait aux pirates de voler des informations personnelles enregistrées dans le carnet d'adresses d’OS X. Ces attaques exploitent la fonctionnalité d'auto-complétion du navigateur (renseignement automatique d'un formulaire) pour y extirper des informations personnelles sans l'aval de l'utilisateur. Il suffit qu'un site web malicieux crée dynamiquement un formulaire avec des champs de texte et des noms appropriés, comme "Adresse" ou "Carte de crédit" et simule les pressions des touches A-Z en JavaScript pour que le navigateur remplisse automatiquement ces champs. Il ne reste alors qu'à transmettre le formulaire pour voler ces informations. Cette technique fonctionnerait même si les champs sont cachés dans la page, explique Jeremiah Grossman, responsable technique de WhiteHat Security sur son blog. Grossman affirme qu'il a signalé cette vulnérabilité à Apple le 17 juin dernier et qu'il n'a reçu pour l'heure aucune réponse. Il n'est pas clair pour l'instant si la vulnérabilité touche uniquement Safari 4 et 5 ou tous les navigateurs fondés sur le moteur de rendu WebKit ...dont Google Chrome. Il est donc recommandé aux utilisateurs des deux navigateurs de désactiver cette option en attendant le correctif. Google n'a pas commenté la faille mais a affirmé que l'auto-complétion sur Chrome nécessiterait une confirmation qui ne pourrait pas être mimée en JavaScript. Apple n'a pas donné des détails sur cette vulnérabilité mais a admis que « prenant très au sérieux la sécurité et la confidentialité, nous sommes au courant du problème et travaillons sur un correctif ». Aucun exploit n'est à ce jour repéré. Mais la facilité de l'exploitation de la faille – et la difficulté à la repérer (aucun malware n'est installé) – laisse supposer que des pirates ont déjà dû la repérer et l'utiliser. Source : Blog de Jeremiah Grossman Lire aussi : Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft Apple aide le développement de Chromeet corrige deux failles majeures de sécurité du navigateur de Google Chrome : 3.133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla Google veut réinventer les règles de divulgation des failles avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs Les rubriques (actu, forums, tutos) de Développez : Sécurité Mac Développement Web En collaboration avec Gordon Fowler*
	00

23/07/2010, 12h37	#2
argonath Membre confirmé Vincent Chalmel Ingénieur d'Etudes Inscription : juillet 2009 Messages : 246 Détails du profil Informations personnelles : Nom : Vincent Chalmel Localisation : France Informations professionnelles : Activité : Ingénieur d'Etudes Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : juillet 2009 Messages : 246 Points : 233 Points : 233	Je ne comprends pas trop pourquoi chrome est cité, le moteur de rendu ne sert à rien pour l'autocomplétion non ?
	00

23/07/2010, 12h54	#3
cs_ntd Membre Expert Développeur .NET Inscription : décembre 2006 Messages : 598 Détails du profil Informations personnelles : Sexe : Localisation : Etats-Unis Informations professionnelles : Activité : Développeur .NET Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : décembre 2006 Messages : 598 Points : 1 138 Points : 1 138	Mais je pense que l'activation (de manière cachée) de l'autocomplétion et sa validation dépendent du moteur de rendu car il est chargé de l'execution du JS, donc ici de WebKit. Donc a priori, sur IE ou Mozilla on ne peut pas activer l'autocomplétion par js ? Ont-ils testés ces 2 navigateurs ? Edit : si ça marche pour chrome, ça rentre en compte pour les 3133,7$ de récompense ? ça peut être considéré comme une faille critique là __________________ The magic of Opera, La magie de l'Opera The mysteries of Space Opera, Les mystères de l'Opera Spatial Mr. Know-it-all, M. Je-Sais-Tout Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C# The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)
	00

23/07/2010, 12h55	#4
cbleas Membre chevronné Inscription : mai 2006 Messages : 928 Détails du profil Informations forums : Inscription : mai 2006 Messages : 928 Points : 762 Points : 762	non ce n'est pas possible il n'y a pas que microsoft qui a des failles?
	05

23/07/2010, 13h24	#7
Louis Griffont Inactif Inscription : février 2003 Messages : 4 342 Détails du profil Informations forums : Inscription : février 2003 Messages : 4 342 Points : 4 028 Points : 4 028	Pour moi, c'est un hoax ! Apple est une boite sans faille ! Et Google est une boite garantissant un OS inexistant sans faille et sans bug.
	32

23/07/2010, 14h53	#10
Grimly Membre confirmé Inscription : mars 2008 Messages : 260 Détails du profil Informations forums : Inscription : mars 2008 Messages : 260 Points : 295 Points : 295	Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ? Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ... Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.
	00

23/07/2010, 20h49	#13
Marcos Ickx Responsable Mac Inscription : mai 2007 Messages : 1 570 Détails du profil Informations forums : Inscription : mai 2007 Messages : 1 570 Points : 5 059 Points : 5 059	Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec. Un proof of concept a été fait et est disponible ici : http://ha.ckers.org/weird/safari_autofill.html Et ce proof of concept prouve que le problème touche également Google Chrome (j'ai été sur cette page avec Google Chrome, et j'y ai vu mon adresse, code postal, ... qui apparaissait de temps à autre) Aussi, il semble que cela ne touche pas Safari tournant sur iPhone et iPad. C'est déjà çà. __________________ Marcos Ickx Liens intéressants : La rubrique Mac, ses cours & tutoriels, ses critiques de Livres Recap des blogs Mac, sa Faq , ses outils Rejoignez le groupe social Mac sur FaceBook, sur Twitter
	00

23/07/2010, 22h06	#15
Marcos Ickx Responsable Mac Inscription : mai 2007 Messages : 1 570 Détails du profil Informations forums : Inscription : mai 2007 Messages : 1 570 Points : 5 059 Points : 5 059	Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli. Et pourtant, le proof of concept que j'ai fait tourner sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ... Donc, pourquoi pas mon numéro de carte bancaire ? __________________ Marcos Ickx Liens intéressants : La rubrique Mac, ses cours & tutoriels, ses critiques de Livres Recap des blogs Mac, sa Faq , ses outils Rejoignez le groupe social Mac sur FaceBook, sur Twitter
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email