Verschlüsselt Safari 6.0.5 für OS X 10.7.5 und 10.8.5 Passwörter nicht?
Alexander Trust, den 13. Dezember 2013Der Antiviren- und Malware-Spezialist Kaspersky hat über ein potenzielles Sicherheitsrisiko in Apples Safari berichtet. Betroffen ist allerdings lediglich eine ältere Version 6.0.5, die für die Betriebssysteme OS X 10.7.5 und 10.8.5 zur Verfügung steht.
Session-File
Apples Safari kann seit einiger Zeit schon eine komplette „Session“ wiederherstellen, wenn bspw. der Browser unwillkürlich geschlossen wurde oder nach einem Neustart des Computers. Um entsprechende Tabs im Ur-Zustand wiederherzustellen, speichert Safari die Session-Daten in einer Datei auf der Festplatte. Diese Datei ist in einem versteckten Ordner enthalten, kann aber von Nutzern durchaus eingesehen werden.
Nun hat Kaspersky herausgefunden, dass die beiden erwähnten Versionen von Safari (und nur diese?) dieses Session-File nicht verschlüsseln. Wenn nun jemand Zugriff auf die Datei LastSession.plist
bekommt, könnte er Details entnehmen, die ein hohes Sicherheitsrisiko darstellen.
Schwarzer Peter?
Tatsächlich hat Kaspersky in der Datei unverschlüsselte Login- und Passwort-Daten entdecken können. Allerdings gibt es im Netz diverse Kommentare, die Apple an dieser Stelle nur eine Teilschuld geben, wenn überhaupt. Die im Klartext lesbaren Login-Daten stünden nur in dieser Datei, heißt es, weil die entsprechenden Webseiten das Übertragen von Login und Passwort über Parameter in einer URL-Zeile vorgenommen hätten und ihrerseits weder eine Verschlüsselung wählten noch eine andere Methode, um auf die Übertragung über den URL zu verzichten. Das ist aber nicht eindeutig zu klären anhand des Screenshots, den Kaspersky bereitstellt. Denn: Zur Übertragung von Daten zwischen Client und Server gibt es zwei Verfahren, POST und GET. Beide erzeugen denselben Output, allerdings kommuniziert GET über die URL-Zeile und POST nicht. Man kann also nicht feststellen, ob die Daten nicht eventuell doch nicht über die URL-Zeile und u. U. sogar verschlüsselt über https übertragen wurden.
Apple hat bei Safari 6.1 und unter OS X 10.9 die Session-Datei wieder verschlüsselt. Wenn Webseiten-Betreiber die Login-Daten aber tatsächlich unverschlüsselt übertragen, dann könnte auch Apples Verschlüsselung der Session-Datei nicht helfen. Denn dann könnte sie über jeder Browser-Historie eingesehen werden, zu jeder Zeit, in allen Browsern.