Menú principal

miércoles, 18 de diciembre de 2013

Almacenamiento de credenciales inseguro en Apple Safari

En el blog de Kaspersky han publicado una información sobre cómo almacena Apple Safari la información de las sesiones que se están utilizando en el disco duro del sistema operativo Mac OS X que es conveniente conocer ya que puede afectar a la seguridad de una persona en caso de que se esté haciendo un uso compartido del sistema operativo, así que vamos a intentar explicarlo en detalle para que conozcáis esos datos, ya que vuestras cuentas de Facebook, Gmail o Twitter pueden quedar en riesgo si no las conocéis.

En Apple Safari existe la posibilidad de reabrir todas las pestañas del navegador con las últimas sesiones abiertas. Esto quiere decir que si el navegador estaba siendo utilizado con varias pestañas abiertas con varias a sesiones en aplicaciones web, va a ser posible abrirlas todas ellas si necesidad de introducir las credenciales.

Figura 1: Opción de reabrir todas las pestañas de la última sesión

Esto es así porque Apple Safari almacena un fichero llamado ~Library/Safari/LastSession.plist toda la información relativa al estado del navegador, las direcciones de las URLs que están abiertas y los datos relativos a las sesiones, donde se encuentran también las cookies y/o passwords en caso de que se hubieran almacenando con las URLs de apertura de sesión.

Figura 2: La información se almacena en el fichero ~Library/Safari/LastSession.plist

Toda esta información debería guardarse en un carpeta protegida para que no pudiera acceder a ella ningún usuario del sistema, pero hay que recordar que por defecto los permisos por defecto en Mac OS X no son tan restrictivos y que aunque se use FileVault 2 o TrueCrypt para cifrar las carpetas personales, esto no es más que un contenedor cifrado que en el momento en que se abre sesión queda expuesto para todos los usuarios, así que ten cuidado con estas opciones de privacidad en Safari. Por este tipo de problemas es conveniente tener un second factor en todas las identidades digitales como Latch.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares