Une des fonctionnalités du navigateur d'Apple, Safari, conçue pour simplifier le remplissage des formulaires, pourrait être utilisée par des pirates pour collecter des informations personnelles si l'on en croit Jeremiah Grossman, directeur de la technologie pour WhiteHat Security. Activé par défaut dans le programme, AutoFill remplit les champs nom, prénom, société, ville, pays et adresse mail automatiquement lorsqu'il reconnaît un formulaire, même si l'internaute n'a jamais visité le site en question. L'application tire ses données du carnet d'adresses de l'OS sous lequel il est installé.

« Tout ce qu'un site malveillant aurait à faire pour extraire des données du carnet d'adresses serait de créer des champs de formulaire dynamiques, et de simuler l'entrée des lettres de A à Z à l'aide de Javascript. Toutes les informations du carnet ayant été insérées par ce procédé dans lesdits champs peuvent ensuite être envoyées à l'attaquant » précise Jeremiah Grossman. Il a d'ailleurs publié une vidéo de l'attaque sur son blog, à l'instar de Robert Hansen, directeur de SecTheory, qui a mis en évidence un code de celle-ci sur son blog pour démontrer le problème. 

Une faille simple, mais dangereuse

Les données commençant par des nombres sont quant à elles épargnées, ne s'insérant pas dans les champs, et ne pouvant donc pas être récupérées. « De telles attaques pourraient facilement être effectuées à grande échelle par l'intermédiaire d'un réseau de publicités. Il y aurait alors peu de chances pour que quelqu'un s'en rende compte, puisqu'il ne s'agit pas d'un code s'installant sur l'ordinateur » ajoute-t-il. « Cette vulnérabilité est tellement simple que j'ai pensé dans un premier temps qu'elle avait déjà été rendue publique depuis un moment. Mais en demandant autour de moi, j'ai réalisé que personne n'était au courant ».

Il déclare avoir rapporté le problème à Apple le 17 juin, sans réponse. Pour éviter que cela n'arrive, il suffit de désactiver AutoFill dans les paramètres du navigateur.