Jeremiah Grossman ha pubblicato sul suo blog un post in cui spiega che gli utenti di Safari (sia in versione 4 che nell'ultima versione 5 rilasciata un mesetto fa) che abbiano abilitato (lo è di default) la funzione di riempimento automatico dei moduli sulle pagine web possono essere soggetti all'attacco di un form studiato ad arte da malintenzionati.

Questa funzione permette di compilare in automatico i campi che utilizzano nomi predefiniti, come ad esempio "nome", "città", "e-mail", ottenendoli dalla propria scheda inclusa in Rubrica indirizzi, senza che sia necessaria alcuna azione da parte dell'utente.

Pare che sia infatti possibile (e Grossman lo dimostra con una pagina creata ad hoc) creare una pagina web che con un JavaScript e dei campi invisibili sia in grado di rubare dati personali degli utenti, come nome, indirizzo, e-mail. Questi poi possono essere utilizzati per inviare dello spamming oppure per creare delle credibili mail di phishing.

Unica informazione al sicuro è il numero di telefono: non si sa per quale motivo, ma pare che, probabilmente a causa di un bug, i dati numerici non vengano inseriti automaticamente.

Il saggio consiglio di Saggiamente è ovviamente quello di disabilitare questa funzionalità finché Apple non ci mette una pezza.

fonte: AppleInsider