Kaspersky: Safari speichert unter OS X Zugangsdaten im Klartext

Daduch könnten Angreifer oder Schadprogramme Nutzernamen und Passwörter für Websites einfach auslesen. Denn die für die Speicherung der Session-Daten genutzte Datei lässt sich von jedermann öffnen. Das Problem besteht in Safari 6.0.5 unter OS X 10.7.5 sowie 10.8.5.

Forscher von Kaspersky haben auf ein Sicherheitsproblem in Safari hingewiesen. Wie sie herausfanden, speichert der Apple Browser unter OS X Sitzungsinformationen, inklusive Nutzernamen und Passwort, als Klartext in einer XML-Datei, auf die jeder Anwender zugreifen kann.

Wie viele andere Browser kann auch Safari Ort und Zustand einer geöffneten Webseite speichern, wenn der Anwender die Sitzung beendet, um sie beim erneuten Öffnen des Browsers wiederherzustellen. Safari sichert die Session-Informationen in einer Datei namens LastSession.plist, wie Kaspersky-Forscher Vyacheslav Zakorzhevsky in einem Blogeintrag ausführt.

Safari speichert Website-Zugangsdaten als Klartext in einer XML-Datei namens LastSession.plist (Bild: Kaspersky).Safari speichert Website-Zugangsdaten als Klartext in einer XML-Datei namens LastSession.plist (Bild: Kaspersky).

Die Datei liegt demnach in einem versteckten Verzeichnis, aber der Zugriff darauf ist nicht beschränkt. Die in der Datei enthaltenen Daten sind nicht verschlüsselt, auch dann nicht, wenn die Sitzung selbst HTTPS verwendete.

Kaspersky konnte dieses Verhalten für Safari 6.0.5 unter OS X 10.7.5 und OS X 10.8.5 nachweisen. Über die aktuelle Mac-OS-Version 10.9 Mavericks äußert sich der Sicherheitsanbieter in seinem Blog nicht. Unklar ist zudem, ob das Problem auch auf anderen Plattformen wie Windows oder iOS besteht.

Es birgt die Gefahr, dass ein Angreifer oder ein Schadprogramm – selbst mit eingeschränkten Rechten – Website-Zugangsdaten des Nutzers auslesen könnte. „Nach unserer Ansicht stellt das Speichern unverschlüsselter vertraulicher Informationen mit unbeschränktem Zugriff eine erhebliche Sicherheitslücke dar, die Angreifern die Möglichkeit gibt, Nutzerdaten mit geringstem Aufwand zu stehlen“, lautet das Fazit von Kaspersky.

Der Sicherheitsanbieter hat Apple nach eigenen Angaben über die Schwachstelle informiert, aber noch keine Antwort erhalten. Ihm zufolge ist es nur eine Frage der Zeit, bis eine Schadsoftware die Schwachstelle ausnutzt.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Apple, Browser, Kaspersky, Safari

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Kaspersky: Safari speichert unter OS X Zugangsdaten im Klartext

Kommentar hinzufügen
  • Am 14. Dezember 2013 um 10:40 von iCkE

    Das „Problem“ ist aber seit Safari 6.1 behoben. Aktuell ist Safari 7. Jeder der mit wenigstens MacOS X 10.7.x seine Programme einigermaßen aktuell hält ist nicht betroffen, vom aktuellen OS ganz zu schweigen.

    Aber hey – hauptsache Kaspersky (muss von „Kasper“ kommen) hat einmal ne dicke Schlagzeile mit einer Sicherheitsmeldung unter OSX bekommen …

    • Am 16. Dezember 2013 um 9:37 von PeerH

      Vermutlich besteht das Problem nicht unter Mavericks, sonst hätte sich Kasperky dieses nicht entgehen lassen, das an exponierter Stelle Skandal-haschend zu platzieren:

      „Kaspersky konnte dieses Verhalten für Safari 6.0.5 unter OS X 10.7.5 und OS X 10.8.5 nachweisen. Über die aktuelle Mac-OS-Version 10.9 Mavericks äußert sich der Sicherheitsanbieter in seinem Blog nicht. Unklar ist zudem, ob das Problem auch auf anderen Plattformen wie Windows oder iOS besteht.“

      Ein Wunder, dass sie das nicht unter 10.6, bis hinunter auf 10.4 getestet haben. Dann wäre der Informationsgehalt noch geringer. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *