Safari: le vecchie versioni salvano le password in chiaro

di Lorenzo Paletti 2

safari_loophole_01

Le vecchie versioni di Safari, il browser per Mac sviluppato da Apple e fornito con ogni copia di OS X, salvano le credenziali di accesso ai siti (login e password) in forma non criptata e facilmente leggibile da chiunque. L’accusa arriva direttamente da Kaspersky, azienda specializzata in sicurezza software.

Safari, spiega Kaspersky, salva i file in maniera non criptata per poter riaprire la pagina in caso di chiusura improvvisa. La funzione, introdotta con le ultime versioni di OS X, renderebbe semplicissimo l’accesso ai preziosi dati:

Si scopre che Safari per Mac OS, come molti altri browser contemporanei, può riaprire la precedente sessione di navigazione online. In altre parole, tutti i siti che erano aperti nella sessione precedente – anche quelli che richiedevano una autorizzazione – possono essere riaperti in pochi semplici passi quando il browser viene riaperto. Conveniente? Certo. Sicuro? No, sfortunatamente.

Safari 6.0.5 per OS X 10.8.5 e 10.7.5 salva i dati di accesso in un file plist chiamato LastSession. Si tratta di un documento nascosto, ma comunque facilmente accessibile e apribile.

L’accusa di Kaspersky, però, potrebbe essere fondata sul nulla. La stringa del file plist che contiene i dati di accesso mostrata dalla compagnia, infatti, include i dati di accesso nella URL del sito. Questo significa che chiunque abbia acceso alla cronologia del browser può, in realtà, mettere le mani sui dati. Il problema, però, non è legato al browser, quanto piuttosto agli sviluppatori del sito che fanno passare i codici di accesso alla barra degli indirizzi del browser (qualsiasi browser esso sia) senza nemmeno utilizzare HTTPS.

Ad ogni modo, sia che il problema – come pare – si nasconda nella sicurezza del sito visitato da Kaspersky, sia che si tratti di Safari, tutti concordano nel sottolineare che l’ultimo aggiornamento di Safari (6.1) risolve questo problema di sicurezza.

[via]