اگر از فایرفاکس روی مک یا کامپیوتر شخصی استفاده می‌کنید، اپل یک افزونه مرورگر کاربردی ارائه می‌دهد که رمزهای عبور iCloud شما را بدون نیاز به باز کردن یک برنامه جداگانه، درست در دسترس شما قرار می‌دهد. با این حال، یک هشدار جدید ممکن است باعث شود قبل از استفاده بعدی از آن، دوباره فکر کنید.

به گزارش یک منبع، یک آسیب‌پذیری جدید Document Object Model توسط محقق امنیتی، مارک توث کشف شده است که می‌تواند به مهاجمان اجازه دهد تا اطلاعات کارت اعتباری، داده‌های شخصی و اطلاعات ورود کاربران را از طریق چیزی به نام «کلیک‌دزدی» یا «دستکاری رابط کاربری» بدزدند. همانطور که محققان توضیح می‌دهند، کلیک‌دزدی «به نوعی حمله اشاره دارد که در آن کاربران فریب می‌خورند تا مجموعه‌ای از اقدامات را در یک وب‌سایت انجام دهند که ظاهراً بی‌ضرر به نظر می‌رسند، مانند کلیک کردن روی دکمه‌ها، در حالی که در واقع ناآگاهانه دستورات مهاجم را اجرا می‌کنند.»

در حالی که برخی از نقص‌ها اصلاح شده‌اند، چندین افزونه محبوب مدیریت رمز عبور در معرض خطر هستند، از جمله 1Password، LastPass و iCloud. در مورد iCloud Passwords، محققان به طور خاص به نسخه 3.1.25 اشاره می‌کنند که فایرفاکس از آن استفاده می‌کند. کروم از نسخه جدیدتر 3.1.27 استفاده می‌کند، اگرچه به نظر می‌رسد این نقص هنوز وجود دارد.

برای دسترسی به یک حساب، یک مهاجم باید یک سایت جعلی با یک پنجره بازشو ایجاد کند که دارای «یک فرم ورود نامرئی باشد به طوری که کلیک کردن روی سایت برای بستن پنجره بازشو باعث شود اطلاعات کاربری به طور خودکار توسط مدیر رمز عبور پر شده و به یک سرور راه دور منتقل شود.» بنابراین وقتی کاربر سعی می‌کند پنجره را ببندد، اطلاعات کاربری به طور خودکار پر می‌شوند.

اوایل امسال، نقصی در برنامه Passwords اپل فاش شد که می‌توانست به یک مهاجم اجازه دهد تا داده‌های حساس را از طریق ترافیک HTTP ناامن رهگیری کند. اپل این آسیب‌پذیری را در iOS 18.2 اصلاح کرد.

توث می‌گوید اپل در حال کار بر روی رفع این نقص است، در حالی که 1Password و LastPass هنوز در حال بررسی هستند. Bitwarden، که تحت تأثیر این نقص نیز قرار داشت، هفته گذشته یک به‌روزرسانی برای رفع این مشکل منتشر کرد. اما اگر از این افزونه‌ها روی مک یا کامپیوتر شخصی استفاده می‌کنید، مطمئن شوید سایتی که استفاده می‌کنید یک سایت معتبر است.

منبع: macworld.com