As novas funcionalidades dos browsers pretendem facilitar-nos a vida e permitir que possamos fazer uma utilização mais produtiva e mais eficiente da Internet e de todos os recursos que oferece aos utilizadores.
Uma dessas facilidades é a capacidade dos browsers restaurarem as sessões anteriores, mesmo das que são de acesso a sites autenticados. De acordo com o que agora foi descoberto, algumas versões do Safari não cifram esses dados de acesso de sessões anteriores.
A descoberta foi feita por investigadores da Kaspersky, que detectaram que os dados que algumas versões do Safari guardam para restaurar as sessões estão armazenados em claro e que qualquer utilizador pode aceder a eles.
Esta funcionalidade de restauro de sessão permite que os utilizadores reabram os separadores que tinham abertos e em utilização da última vez que foi usado.
Ao restaurar estes separadores o Safari consegue reautenticar os utilizadores em todos os serviços que requerem username e password, sem que isso seja pedido aos utilizadores.
Por norma os browsers guardam essa informação em ficheiros PList, que estão cifrados e que por isso não podem ser lidos e compreendidos.
O que a Kaspersky descobriu foi que duas versões específicas do Safari estão a guardar esses dados em claro e acessíveis a qualquer pessoa.
Esses ficheiros estão em sistema, numa pasta escondida, mas de fácil acesso e sem controlo, o que permite que, depois de comprometida uma máquina, qualquer um pode aceder aos dados de login guardados nesses ficheiros ou, por exemplo, que uma qualquer aplicação possa aceder aos dados e enviá-los para o seu criador.
Um exemplo do dados que foram encontrados pelos investigadores da Kaspersky pode ser visto na imagem abaixo. Aí encontram, para além dos links dos separadores abertos, dados de autenticação de todos os separadores que estivessem abertos.
Da informação disponibilizada, não é a mais recente versão do Safari a ter este problema. As versões afectadas são as 6.0.5, que estão instaladas no OSX10.8.5 e 10.7.5.
Este problema foi do conhecimento da Apple pois a versão seguinte, a 6.1 trouxe a correcção desse problema, passando os dados a estarem cifrados.
A versão 6.1 foi disponibilizada aquando do lançamento do OS X 10.9 (Mavericks) e está imune. Todos os utilizadores que tenham esta actualização feita não estão expostos a problemas.
O facto de os dados dos utilizadores estarem acessíveis de forma clara e sem qualquer controlo de acesso representa um problema grave de segurança e qualquer aplicação pode aceder a eles.
Recomenda-se a todos os que usem versões mais antigas do Safari que as actualizem e até que actualizem o OS X para a mais recente versão.