El navegador de Apple permitía almacenar información confidencial sin condificarla y acceder a ella sin restricciones por internautas maliciosos
20 dic 2013 . Actualizado a las 19:06 h.Un fallo en Safari, el navegador estrella de Apple, recién descubierto por los expertos en seguridad, habría puesto en peligro la privacidad de miles de usuarios. Este error ha permitido almacenar información confidencial como contraseñas sin codificarla y acceder a ella sin restricciones por internautas maliciosos.
Para que el navegador sepa qué estaba abierto en la sesión previa, la información al respecto debe guardarse en algún lado y, explican desde Kaspersky Labs, debe estar codificada. «El problema es que Safari no codifica las sesiones previas y las guarda en un formato de archivo plist común que es de fácil acceso», han confirmado.
El sistema puede abrir un archivo plist sin problemas y guarda información sobre la sesión, incluyendo las solicitudes http codificadas usando un simple algoritmo de codificación Base64, en formato estructurado. Concretamente, la función «Reabrir todas las ventanas de la última sesión» que hace que los sitios se abran tal y como estaban al final de la última sesión. Es la función que utiliza LastSession.plist y está disponible en las versiones de Mac OS X y Safari ##OSX10.8.5, Safari 6.0.5 (8536.30.1) y ##OSX10.7.5, Safari 6.0.5 (7536.30.1).
Según los expertos de Kaspersky Lab, sería un «gran problema» que los cibercriminales o un programa malicioso tuviese acceso al archivo LastSession.plist en un sistema en el que el usuario ingresa a Facebook, Twitter, LinkedIn o su cuenta bancaria de Internet.
La vulnerabilidad de Apple
El experto en seguridad de Kaspersky Lab en España, Vicente Díaz, ha explicado a Efe que esta vulnerabilidad demuestra una vez más que Apple también tiene problemas de seguridad desde hace varios años. Sin embargo, en este caso, ha precisado, «no ha sido de las más graves, evidentemente».
La vulnerabilidad permite que el ordenador guarde datos que deberían ser totalmente privados, y lo hace sin preguntar al usuario cuando restaura sesiones previas de navegación de forma automática, sin incluir de nuevo las claves. Además, el sistema los almacena «en claro», es decir, de forma «no segura», lo que permite a cualquiera sin necesidad de grandes dotes informáticas leerlos sin apenas esfuerzo.
Debido a esta vulnerabilidad en Safari, de la que Apple ya ha sido informado, cualquiera que pueda entrar en el equipo del afectado por este fallo tendría posibilidad de acceder a los datos del correo y hacerse con las contraseñas. En concreto, los expertos han detectado esa vulnerabilidad en dos versiones antiguas del navegador Safari, pero en la versión de IOS 7 ya está solucionado.
Según el responsable de Kaspersky, por ahora no se ha detectado ningún internauta malicioso que esté tratando de aprovechar esta vulnerabilidad, pero no tardará en aparecer si no se soluciona pronto por parte de Apple, ha asegurado.