Si utiliza las funciones de autocompletado en Safari, ciertas versiones de IE, Firefox o Chrome, usted podría estar haciendo a ti mismo vulnerables al robo de identidad y otros ataques, según un investigador de seguridad programado para hablar en la conferencia Sombrero Negro próxima semana. White Hat Seguridad CTO Jeremiah Grossman dice que los cuatro principales navegadores tienen debilidades críticas que aún tienen que ser abordados por sus respectivas compañías y podrían exponer las contraseñas de los usuarios, direcciones de correo electrónico, y más para los atacantes.
Grossman planea una demostración de un ataque de prueba de concepto en la conferencia de la próxima semana. Como la mayoría de nosotros sabemos, si usted tiene autocompletar activada en muchos navegadores, sólo tienes que comenzar a escribir una carta o dos en uno de los campos antes de que todos se llenan con su nombre y dirección, posiblemente su número de tarjeta de crédito, y mucho más .
Grossman dice atacantes pueden simplemente crear una página con campos de formulario ocultos que utilizan JavaScript para introducir letras y números en cada campo hasta que encuentra uno que sea un éxito, y el navegador completa automáticamente a ella.
Los usuarios ni siquiera tienen que introducir una sola letra para el ataque funcione, todo lo que tienen que hacer es cargar la página, y probablemente ni siquiera ser consciente de lo que está pasando.
Según Grossman, el autocompletado explotar obras en los dos la mayoría de las versiones recientes de Safari (4 y 5), así como IE 6 y 7. Firefox y Chrome no son susceptibles a este ataque en particular, aunque eran vulnerables a la otra: Grossman dice que los dos navegadores pueden exponer a los nombres de usuario almacenados y contraseñas de los sitios guardados, por lo que es posible que una vulnerabilidad de cross-site scripting para captar la información cuando un usuario inicia sesión en una cuenta de Google o Facebook, por ejemplo.
La razón por la que planea exponer estas vulnerabilidades en Sombrero Negro se debe a que las empresas en cuestión han aparentemente no respondió a los intentos de Grossman en contacto con ellos al respecto. "Yo nunca he hablado de esto públicamente si Apple había tomado esto en serio," Grossman dijo a The Register. "Pensé que alguien más debe haber encontrado esto antes porque es muy sencilla con muerte cerebral.
" Cuando él envió una consulta de seguimiento "Nunca escuché na