Un grave bug nella versione 4 e 5 di Safari consentirebbe a malintenzionati di leggere informazioni personali quali: nome, cognome, città, indirizzo e-mail e altre ancora, sfruttando l’autofill, la funzione di riempimento automatizzato che consente di compilare in automatico i moduli presenti su tanti siti web. La funzione, sfruttata in modo malevolo dal lato-server, potrebbe consentire a malintenzionati di leggere informazioni personali dalla Rubrica Indirizzi, anche se l’utente non ha mai riempito moduli di alcun tipo su internet. Per mostrare la pericolosità del bug, è stata allestita una pagina che mostra con una prova concettuale il rischio per gli utenti, visualizzando informazioni personali di chi si collega, prelevandole dalla rubrica indirizzi.
La lettura di queste semplici informazioni non deve essere sottovalutata: anche un semplice indirizzo e-mail può essere sfruttato per inviare spam, phishing e minacce varie. Per fortuna le informazioni che iniziano con un numero (esempio, i numeri telefonici) non possono essere prelevate e dunque dati quali indirizzi, numeri civici e numeri telefonici non possono essere prelevati a nostra insaputa. Finché Apple non rilascerà una versione aggiornata di Safari, sarà bene dunque portarsi sul menu “Safari”, scegliere la voce “Preferenze” e dalla sezione “Riempimento automatico” disabilitare la voce “Utilizza informazioni dalla mia scheda Rubrica Indirizzi”.
[A cura di Mauro Notarianni]
