Große Sicherheitlücke in Safaris AutoFill-Funktion – Sicherheit vs. Komfort

Bisher habe ich immer auf Safari geschworen, der Browser ist für mich schnell genug und bietet alles, was ich brauche. Auch auf die Funktion des automatischen Ausfüllens hab ich, zumindest bis heute, gerne zurückgegriffen, weil es einfach komfortabel ist. Nun lasse ich erst vorerst einmal die Finger von diesem netten Feature.

Die Desktop-Version des Apple-Browsers, besitzt nämlich eine gravierende Sicherheitslücke. Die AutoFill-Funktion, welche standardmäßig in Safari aktiviert ist, bezieht die nötigen Informationen aus dem Mac OS X Adressbuch. Eigentlich dient die AutoFill-Funktion der Speicherung für Login-Daten auf dem eigenen PC, um später ein vereinfachtes Einloggen zu ermöglichen. Außerdem werden automatisch die eigenen Daten in das Formularfeld einer Webseite eingetragen. An sich also eine komfortable Sache!

Das Problem:

Safari ist es, egal ob man selbst ein Login-Feld mit Namen ausfüllt oder ob diese Eingabe von einem, im Zweifelsfall schädlichen, JavaScript übernommen wird. Dabei ist es möglich entsprechende Formularfelder unsichtbar zu halten und das schadhafte Script im Hintergrund laufen zu lassen. Dieses probiert dann alle Buchstaben des Alphabets durch, bis Safari das Feld automatisch ausfüllt. Auf dieser Seite kann man sich persönlich von der Sicherheitslücke überzeugen.

Diese Sicherheitslücke ist angeblich schon seit einem Jahr bekannt. Apple wurde außerdem bereits vor über einem Monat erneut auf das Problem hingewiesen. Doch äußerte sich der Konzern nur in gewohnt knapper Art und Weise.

“We take security and privacy very seriously. We’re aware of the issue and working on a fix.”

Bis eine offizielle Stellungnahme seitens Apple erfolgt, bleibt alles Nutzern von Safari nur eine Wahl: Die Funktion zum automatischen Ausfüllen sollte tunlichst deaktiviert werden!

[via 9to5mac; Foto: Apple]