<Р> Гроссман планирует демо доказательства правильности концепции нападение на конференции на следующей неделе. Как большинство из нас знает, если у вас есть автозаполнения включена во многих браузерах, вы просто должны начать печатать письмо или два в одном из полей, прежде чем все они заполняют свое имя и адрес, возможно, номер вашей кредитной карты, и более , Гроссман говорит злоумышленники могут просто создать страницу со скрытыми полями формы для ввода букв и цифр в каждой области, пока не найдет тот, который удар, и браузер autocompletes его, использующих JavaScript.
<Р> Люди даже не придется ввести одну букву для атаки на работу-все они должны сделать, это загрузить страницу, и они, вероятно, даже не будет знать, что происходит.
<р> По словам Гроссмана, автозаполнения использовать произведения в двух Самые последние версии Safari (4 и 5), а также IE 6 и 7.
Firefox и Chrome не восприимчивы к этой конкретной атаки, хотя они были уязвимы к другому: Гроссман говорит, что два браузеры могут выставить сохраненные логины и пароли для сохраненных сайтов, что делает его возможным для Cross-Site Scripting уязвимости, чтобы захватить данные, когда пользователь входит в аккаунт Google или Facebook, например.
<р> Причиной он планирует выставить эти уязвимости на конференции Black Hat потому, что компании в вопросе, по-видимому, не ответил на попытки Гроссмана связаться с ними об этом.
"Я бы никогда не говорил об этом публично, если Apple, приняли это всерьез", сказал Гроссман The Register. "Я полагал, кто-то еще должно быть найдено это раньше, потому что это так смерть мозга простой." Когда он направил последующую запрос "Я никогда не слышал ничего обратно, человек или робот."