| รายงานข่าวล่าสุด ผู้เชี่ยวชาญระบบรักษาความปลอดภัยเผย
คุณสมบัติการทำงาน Autofill
ที่ช่วยกรอกข้อมูลในแแบบฟอร์มออนไลน์โดยอัตโนมัติในเว็บบราวเซอร์ Safari
ของ Apple มีช่องโหว่ที่เปิดโอกาสให้แฮคเกอร์สามารถใช้ในการล้วงข้อมูลต่างๆ
ของผู้ใช้ ซึ่งรวมถึง ชื่อ และอีเมล์แอดเดรส
Jeremiah Grossmanได้เปิดเผยรายละเอียดไว้ในบล็อกของเขาว่า
ผู้ใช้ที่ใช้คุณสมบัติการทำงานที่เรียกว่า "AutoFill web forms"
ของบราวเซอร์ Safari เวอร์ชัน 4 และ 5 ให้ระวัง
เนื่องจากคุณสมบัติดังกล่าวมีช่องโหว่ที่สามารถแทรกโค้ดอันตรายเข้าไปได้
ซึ่งปกติคุณสมบัติการทำงานของ AutoFill จะถูกเปิดให้ทำงานตั้งแต่แรกแล้ว  สำหรับคุณสมบัติดังกล่าวจะทำ
หน้าที่กรอกข้อมูลเข้าไปในแบบฟอร์มออนไลน์ให้กับผู้ใช้ได้โดยอัตโนมัติ
อย่างเช่น ชื่อ บริษัท เมือง รัฐ อีเมล์ และอื่นๆ อีกมากมาย
โดยข้อมูลเหล่านี้จะถูกดึงจากบันทึกข้อมูลส่วนตัวของผู้ใช้ที่รวมอยู่ใน
address book ของระบบปฏิบัติการ Mac OS X ซึ่งนั่นหมายความว่า
ข้อมูลส่วนตัวของผู้ใช้สามารถถูกนำมาใช้งานได้
แม้ผู้ใช้จะไม่ได้เป็นคนป้อนเข้าไปให้กับบราวเซอร์ก็ตาม
"เว็บไซต์ไม่หวังดีสามารถแอบดึงข้อมูลจาก Address Book ผ่านทางบราวเซอร์
Safari โดยใช้แบบฟอร์มออนไลน์ที่ไม่แสดงให้เห็นบนหน้าจอ
แล้วใช้จาวาสคริปท์จำลองการกดตัวอักษร A-Z เข้าไปในฟอร์ม
เพื่อให้บราวเซอร์ดึงข้อมูลที่ตรงกันออกมา
เมื่อได้ครบตามต้องการก็ส่งข้อมูลเหล่านั้นกลับไปยังแฮคเกอร์" Grossman
โพสต์ข้อความนี้ไว้ในบล็อกของเขา  Grossman ยังได้สร้างหน้าเว็บ
เพื่อพิสูจน์แนวคิด (proof-of-concept)
ของเขา โดยแสดงให้เห็นว่า ใช้เวลาเพียงไม่กี่วินาทีเท่านั้น
ก็สามารถดึงข้อมูลส่วนบุคคลของผู้ใช้ออกไปได้แล้ว Grossman กล่าวว่า
ข้อมูลที่ได้สามารถนำไปใช้ในการส่งสแปม หรือโจมตีด้วยฟิชชิ่ง
"โชคดีที่ข้อมูลใน AutoFill ที่เริ่มต้นด้วยตัวเลข อย่างเช่น เบอร์โทรศัพท์
หรือหมายเลขถนน จะไม่สามารถดึงออกมาได้
เนื่องจากมันไม่ค่อยเป็นที่นิยมใช้ในช่องใส่ข้อความ (text field)" เขากล่าว
"อย่างไรก็ตาม การโจมตีด้วยวิธีนี้สามารถทำได้ง่าย
แถมยังกระจายออกไปยังหมู่ผู้ใช้เป็นจำนวนมากได้ง่ายอีกด้วย"
สำหรับวิธีป้องกันตัวเองง่ายๆ ก็คือ ปิด (disable) การทำงานของ AutoFill ใน
Safari ไว้จนกว่าทาง Apple จะมีการแก้ปัญหานี้ออกมา ข้อมูลจาก:tgdaily  ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์ | 
