Sicherheitslücke Safari 7.0

[servusli]

Hallo zusammen

Dies soll keine Anleitung sein die Bequemlichkeit zu unterstützen, dies ist eine Warnung!

Gerade eben habe ich beim herumspielen in Safari 7.0 eine grössere Sicherheitslücke entdeckt:

Unter den Einstellungen (cmd+,) => Kennwörter gibt es die Funktion:" 'Autom. Ausfüllen' auf für Websites erlauben, die verlangen, Kennwörter nicht zu sichern"


Setzt man dort einen Hacken, wird man zwar aufgefordert ein Kennwort für die Bildschirmsperre zu erstellen:


Ist jemand schlau genug, setzt er die Zeit für die Bildschirmsperre auf das Maximum von 4 Stunden, so muss quasi selten bis nie ein Passwort eingetippt werden.

Mit Hilfe der oben erwähnten Funktion, lassen sich unteranderem auch Benutzernamen und Passwort von einem eBanking-Login speichern. Gewisse Banken, wie zum Beispiel die sankt gallische Kantonalbank (CH), haben die Option, dass der eigene Computer ein direktes Login hat, dH ohne SMS-Kontrollcode klar kommt. Für jemand wer kriminelle Absichten hat, ein Leichtes, so sein Unwesen zu treiben.

Diese Funktion wenn immer auch möglich nicht benutzen.

 

[echo.park]

Ich sehe da keine Sicherheitslücke. Kennst du überhaupt die Definition einer "Sicherheitslücke"?

Was du hier präsentierst ist eine schlichte Funktion, die man nutzen kann, oder auch nicht. Mit einer Sicherheitslücke hat das nichts zu tun.

Nach deiner Definition sollte man auch garkeine Passwörter von Safari speichern lassen, könnte ein Krimineller mit Zugriff auf den Mac doch großen Schaden anrichten. Aber auch das ist nur eine Funktion, die man sich entschließt zu nutzen, oder eben nicht.



Nichts für ungut, aber ich dachte, als ich den Threadtitel gelesen habe, jetzt kommt hier sowas wie, dass du herausgefunden hättest, wie man Safari dazu bringen kann schadhaften Code auszuführen, beispielsweise mit JavaScript, und dann die Sandbox auszuhebeln. Das wäre eine Sicherheitslücke.

 

[meru]

Ah interessant "Autom. Ausfüllen" hatte ich noch gar nicht gesehen, nur wie kann man das setzen ohne eine Kennworteingabe im Sperrbildschirm?

mfg Meru

 

[servusli]

Sobald man die Vertragsnummer und das Passwort von einem eBabking gespeichert werden kann, kann es zu einem kriminellen Zweck missbraucht werden.

Gewisse Banken bieten die Möglichkeit, die Einstellung vorzunehmen ohne ein Kontrollcode einzugeben. Damit ist es an einem gewissen Computer möglich sich nur mit Vertragsnummer und Passwort einzuloggen.

Wenn so eine Funktion zur Verfügung gestellt wird, ist eine Sicherheitslücke weil es Jemandem mit krimineller Absicht einfach gemacht wird, an persönliche Daten zu kommen.

 

[Guy.brush]

Ich möchte nicht wissen, wieviele Leute ihre sämtlichen Passwörter einfach automatisch vom Browser speichern lassen. Auch werden die meisten ihre Daten in ihrem Benutzeraccount nicht verschlüsselt ablegen. Damit hast du sowieso ein Problem, wenn du jemanden an deinen Benutzeraccount lässt, denn an persönliche Daten wird der in 99% der Fälle kommen. Der Lösungsansatz, wie das zu verhindern wäre, fängt also schon weit vorher an und dann ist es auch egal ob ein beliebiges Programm X eine so genannte Sicherheitslücke hat oder nicht. So gesehen hat jedes Programm mit deinen Daten eine Sicherheitslücke, sobald du es jemand anderen benutzen lässt. Derjenige könnte ja auch einfach ein neues Passwort für etliche Webseiten anfordern, dann dein Email Programm öffnen, auf den Bestätigungslink klicken und selbst ein neues PW vergeben, somit könnte er sich dann überall einloggen.

 

[echo.park]

Wenn so eine Funktion zur Verfügung gestellt wird, ist eine Sicherheitslücke weil es Jemandem mit krimineller Absicht einfach gemacht wird, an persönliche Daten zu kommen.

Dann müsste ein Angreifer aus dem Internet immer noch erstmal daran kommen, sprich einen Trojaner platzieren oder ähnliches. Und dazu müsste er dann eine tatsächliche (!) Sicherheitslücke ausnutzen.

Wenn jemand physisch Zugang zum Mac hat, dann ist eh nichts mehr sicher. Abgesehen davon, sollte man FileVault nutzen.

Aber eine Funktion, die zur Verfügung gestellt wird, ist keine Sicherheitslücke, das ist bestenfalls ein sicherheitsminderndes Merkmal. Eine Lücke ist was ganz anderes.