09.12.2014 | 10:37

Adam Haertle

Korzystaliście z Firefoxa na OS X Yosemite? To mieliście keyloggera

Jeśli jesteście użytkownikami systemu OS X w wersji 10.10 (Yosemite) i używaliście produktów Mozilli takich jak Firefox lub Thunderbird, to wszystko, co w nich pisaliście, w tym Wasze hasła, mogą być zapisane w pliku tekstowym w katalogu tymczasowym.

Mozilla opublikowała tydzień temu ciekawe ostrzeżenie. Wskazuje w nim na ryzyko zapisania na dysku wszystkich naciśniętych klawiszy w swoich programach uruchomionych na platformie OS X Yosemite.

To tylko taka funkcja pomagająca w wykrywaniu błędów

Na problem zwrócił uwagę badacz Kent Howard. Zauważył on, że w katalogu /tmp tworzone są pliki o nazwach rozpoczynających się od CGLog_ po którym następuje nazwa aplikacji, np. CGLog_firefox. W plikach tych zapisywane są wszystkie klawisze naciśnięte w oknie konkretnej aplikacji – jest to zwykła funkcja tzw. keyloggera. Oznacza to, że wszystkie loginy, hasła, numery kart kredytowych i podobne informacje były zapisywane na dysku komputera w plikach tekstowych. Po co?

Oficjalne wytłumaczenie brzmi tak: framework CoreGraphics (odpowiedzialny za tworzenie obiektów graficznych) napotykał na błąd związany z inicjalizacją pamięci. Prawdopodobnie by zdiagnozować przyczynę błędu włączono funkcję zbierania informacji z podejrzanych aplikacji (Firefox oraz Thunderbird trafiły na listę podejrzanych ponieważ korzystają z własnych funkcji związanych z obsługa pamięci). Funkcja zbierania informacji o naciśniętych klawiszach była już obecna w kodzie w OS X 10.6 – 10.9, ale dopiero w 10.10 włączono ją domyślnie.

Ostrzeżenie Mozilli

Ostrzeżenie Mozilli

Mozilla usunęła ten problem w najnowszych wersjach swoich aplikacji wydanych tydzień temu, wymuszając wyłączenie logowania. Jeśli zatem korzystaliście z:

  • Firefoksa <34
  • Firefoksa ESR <31.3
  • Thunderbirda <31.3

w OS X 10.10, to zalecamy wejście do folderu /tmp i usunięcie wszystkich plików zaczynających się od CGLog. Można również na wszelki wypadek zmienić hasła, które do tych plików trafiły. Użytkownicy starszych wersji OS X i innych przeglądarek nie mają powodów do niepokoju. Chyba.

Powrót

Komentarze

  • 2014.12.09 12:01 Fanboy

    Ale nawet permanentnie szpiegowane to i tak Apple to najlepsze komputerry we wszechświecie. :)

    Odpowiedz
    • 2014.12.10 08:25 mm

      firefox jest produktem mozilly, a nie apple. masz pewnosc, ze w przypadku windowsa czy linuxa nie ma takiego bledu? zreszta, do mac osx trudniej sie wlamac niz do windowsa ktory jest dziurawy jak ser szwajcarski..

      Odpowiedz
      • 2014.12.10 13:13 noon

        Raczysz sobie żartować? Apple jest dekadę za MS – to właśnie OSX jest najbardziej dziurawym, do tego reakcja na dziury to albo „źle trzymacie”, albo „poczekajcie do XX.20XX”. Może łaskawie załatają… Ale spoko, żyj w swoim świecie.

        Odpowiedz
  • 2014.12.09 15:11 ryszard

    Słabe zagranie ze strony Apple, powinni te zrzuty szyfrować. W tym momencie, ze wszystkich firmowych komputerów OS X 10.10 powinien zostać zbanowany. Kto wie ile jest takich „podejrzanych aplikacji”.

    Kolejny raz moja przesiadka na Yosemite zostala odroczona. Jeśli nie będzie można wyłączyć tego mechanizmu globalnie, to podejrzewam, że do śmierci, mojej albo laptopa, pozostanę przy 10.9.

    Odpowiedz
  • 2014.12.09 17:53 agentnsa

    OS X to tylko taka zabaweczka dla hipsterskich web developerów.

    Odpowiedz
  • 2014.12.09 20:01 anty jabcok

    Apple znane jest z tego, że głupkowato się tłumaczą.

    @ Fanboy

    Najlepsze komputery może nie, ale McBooki mają dobre :)

    Odpowiedz
    • 2014.12.10 14:13 Przemysław

      Kolejny gimbus? Czytanie ze zrozumieniem jest Ci obce? Od kiedy „Mozilla Firefox” jest produktem Apple? W samej nazwie przeglądarki masz zawartą nazwę firmy… Brak słów…

      Odpowiedz
      • 2014.12.11 18:55 jabcok

        A kto pisze o Mozilli? Masz kłopoty z wzrokiem to idź lecz się na oczy. Brak słów…

        Odpowiedz
  • 2014.12.09 20:45 scope

    Właśnie uaktualniłem FF z 33 na 34.
    Jedyny pliczek u mnie w /tmp zaczynający się na CGLog_ to był właśnie FF.
    Przeparsowałem go i wszystko co na klawie dzisiaj wstukałem tam było, poza hasłami !
    Tzn. logi haseł są zaraz za logami loginów, ale bez informacji o konkretnym klawiszu („KeyDown win 0x0 Secure”), więc jedyne co da się „odgadnąć” to długość hasła, ale też nie zawsze (jak się ktoś walnie przy wpisywaniu).

    A teraz pytanie, czy ta „Funkcja zbierania informacji o naciśniętych klawiszach” się jakoś nazywa i czy da się ją wyłączyć ?

    Odpowiedz
  • 2014.12.09 22:44 czesław

    Ciekawe czy te pliki były wysyłane w raportach do apple.
    Ja nie ufam zamkniętemu oprogramowaniu ani apple ani Apple ani MS, mimo, że MS robi świetny soft typu SQL czy Office to strach z tego korzystać będąc w sieci

    Odpowiedz
  • 2014.12.10 12:03 blhtV

    Potwierdzam to, co napisał @scope, treść haseł nie jest zapisywana, co najwyżej liczba wciśnięć klawiszy. Pozostałe informacje są dostępne, oprócz znaków mamy także informacje z innych urządzeń wejścia, więc jeśli ktoś wpisywał hasło używając klawiatury ekranowej, to może pokusić się o rozkodowanie przesunięć myszy i kliknięć na podstawie logu.

    Odpowiedz

Zostaw odpowiedź do ryszard

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Korzystaliście z Firefoxa na OS X Yosemite? To mieliście keyloggera

Komentarze