Fallo de seguridad en Safari pone en peligro a los usuarios

Safari

Kaspersky Labs ha denunciado que Safari, el navegador web de Applepone en peligro el almacenamiento de las contraseñas del usuario, debido a un fallo en la información almacenada para la restauración de páginas. En concreto, los expertos han detectado esa vulnerabilidad en dos versiones antiguas del navegador Safari, pero en la versión 7 está solucionado.

La vulnerabilidad permite que el ordenador guarde datos que deberían ser totalmente privados, y lo hace sin preguntar al usuario cuando restaura sesiones previas de navegación de forma automática, sin incluir de nuevo las claves. 

Además, el sistema los almacena de forma "no segura", lo que permite a cualquiera sin necesidad de grandes dotes informáticas leerlos sin apenas esfuerzo y entrar en el equipo del afectado por este fallo, teniendo la posibilidad de acceder a los datos del correo y hacerse con las contraseñas. 

"El problema es que Safari no codifica las sesiones previas y las guarda en un formato de archivo plist común que es de fácil acceso" han asegurado desde Kaspersky. Según esta compañía de seguridad, "no resultaría complicado encontrar las credenciales de inicio de sesión del usuario", ya que la sesión autorizada completa del sitio se guarda en el archivo plist, "completamente a la vista a pesar de que se usara https".

"El archivo en sí se encuentra en una carpeta oculta, pero cualquiera puede leerlo", oncretamente, la función 'Reabrir todas las ventanas de la última sesión' es la función que utiliza LastSession.plist.

El sistema puede abrir un archivo plist sin problemas y guardar información sobre la sesión, incluyendo las solicitudes http codificadas, usando un simple algoritmo de codificación Base64 en formato estructurado. 

El experto en seguridad de Kaspersky Lab en España, Vicente Díaz ha explicado que "esta vulnerabilidad demuestra una vez más que Apple también tiene problemas de seguridad desde hace varios años".

Según los expertos de Kaspersky Lab, sería un "gran problema" que los cibercriminales o un programa malicioso tuviese acceso al archivo LastSession.plist en un sistema en el que el usuario ingresa a Facebook, Twitter, LinkedIn o su cuenta bancaria de Internet

En este sentido, de momento, no se ha detectado ningún código malicioso que esté tratando de aprovechar esta vulnerabilidad, pero añade que "no tardará en aparecer si no se soluciona antes por parte de Apple".

Fuente: europapress.es