Mac-adepten kunnen maar beter de autofill-optie van Safari uitschakelen. Door een lek in de tool is het voor kwaadwillenden kinderspel om je persoonlijke gegevens te bemachtigen.

De autofill-tool kan automatisch persoonsgegevens zoals je naam, adres en e-mail aanvullen tijdens het surfen. Standaard staat deze ingeschakeld. De informatie wordt uit het lokaal opgeslagen adressenboek van je Mac gehaald.

Geen reactie Apple
Onderzoeker Jeremiah Grossman heeft een proof-of-concept gepubliceerd op zijn blog. Daarmee toont hij aan hoe makkelijk het is om de tool te misbruiken. Apple werd meer dan een maand geleden al op de hoogte gebracht, maar reageerde niet.

Een website die onzichtbare dynamische tekstvelden bevat, kan binnen enkele seconden je persoonlijke informatie ontfutselen. Door aanslagen van A tot Z te simuleren met JavaScript schiet autofill in actie. Herkent het de eerste letter van het woord, dan wordt de rest aangevuld.

Internet Explorer
Naast Safari 4 en 5, zijn versie 6 en 7 van Internet Explorer eveneens kwetsbaar. De werkwijze verschilt wel. Door in een autofill-tekstveld twee maal de ‘pijl naar beneden’-toets te simuleren kan de informatie bemachtigd worden. Dat vertelde Grossman aan The Register.

De mobiele versie van Safari voor iOS is niet kwetsbaar. De werkwijze is ook niet toepasbaar op Googles browser Chrome. Bij automatisch aanvullen vraagt Chrome om een bevestiging van de gebruiker die niet door JavaScript geïmiteerd kan worden.