Safari hat Sicherheitsproblem mit automatischem Ausfüllen

Safari war bereits im März 2009 mit einem Problem mit dem bequemen Ausfüllen in den Schlagzeilen. Sicherheitsexperten haben nun auch in der Version 5 des beliebten Apple Webbrowsers Safari nachgewiesen, dass unter Umstände persönliche Daten an Internetseiten übermittelt werden.

Beim Installieren ist die Voreinstellung zum automatischen Ausfüllen aktiviert, so dass in Web-Formularen dann aus dem Adressbuch die Email-Adresse, Straßenanschrift, Telefonnummern und weitere Informationen übernommen werden. Der Anwender tippt einfach nur die ersten Buchstaben ein und das Feature in Safari füllt die Formular-Felder soweit wie möglich aus.

Wie bereits von Informationweek berichtet, hat Jeremiah Grossmann, der Gründer und CTO der Sicherheitsfirma Whitehat, in seinem Blog ausführlich beschrieben, wie ein Hacker die Sicherheitslücke ausnutzen kann. Grossmann hat sich bereits einen Namen gemacht, als er in 2008 Exploits wie zum Beispiel die Bedrohung durch "Clickjacking" aufdeckte. Sein Kollege Robert Hansen linkt von Grossmans Blog zu einer harmlosen Beispielseite, die den Exploit des automatischen Ausfüllens zeigt.

Schuld an der Sicherheitslücke in Safari soll laut Grossman ein Fehler im Webkit sein, das sowohl für Safari unter Mac-OS X und iOS als auch für Googles Webbrowser Chrome eingesetzt wird. Die Beispielseite von Hansen scheint allerdings nicht mit der aktuellen Chrome-Version zu funktionieren. Wahrscheinlich liegt dies daran, dass Googles Browser nicht so eng wie Safari an die Ausfüllfunktion angebunden ist. Auch wird die mobile Version von Safari einfacher vor dem Exploit geschützt, da der Anwender das Ausfüll-Feature ausdrücklich per Knopfdruck genehmigen muss.

Grossman berichtet im Blog auch, dass er Apple bereits Mitte Juni auf die Sicherheitslücke hinwies, bis jetzt aber lediglich eine automatisch generierte Email-Antwort erhielt.

Einfache Abhilfe schafft das Deaktivieren der Option "Informationen meiner Adressbuch-Visitenkarte übernehmen" im Tab "Autom. Ausfüllen" in den Einstellungen von Safari. Während es technisch gesehen kein Safari-Fehler ist, sondern "nur" das böswillige Ausnutzen der Ausfüllen-Funktionalität, bleibt zu hoffen, dass Apple schnellstmöglich diese Sicherheitslücke behebt.