Firefox z keyloggerem? Takie rzeczy tylko na... Makach z OS X Yosemite
Szkolne błędy popełniają nie tylko młodzi i uczący się dopiero deweloperzy, ale też doświadczeni twórcy oprogramowania. Użytkownicy Firefoksa i Thunderbirda mogą mieć teraz słuszne pretensje do Mozilli, która naraziła ich na wyciek haseł zaszywając w swojej przeglądarce i programie pocztowym keyloggera.
Problem z Firefoksem i hasłami nie dotyczy co prawda wszystkich użytkowników przeglądarki, ale i tak jest poważny. Dotknął on tych użytkowników komputerów Mac z systemem OS X w wersji 10.10 Yosemite, którzy zdecydowali się zastąpić systemowe Safari ognistym lisem, a Mail.app Thunderbirdem.
W oprogramowaniu Mozilli znalazł się błąd (nie chcę wierzyć w to, że mogło być to celowe działanie) który powodował przechwytywanie wszystkich haseł wpisanych przez użytkownika. Zaszyty w Firefoksie i Thunderbirdzie keylogger zapisywał hasła w pliku tekstowym w katalogu tymczasowym.
Nie trzeba nikomu tłumaczyć, jak bardzo jest to niebezpieczne. Dostęp do takiego otwartego pliku z wykazem haseł jest znacznie prostszy, niż wyciągnięcie ich z szyfrowanego archiwum lub za pomocą socjotechniki. Jak donosi Zaufana Trzecia Strona, na problem ten zwrócił uwagę badacz Kent Howard.
Zauważył on pojawiające się w katalogu /tmp pliki, w których zapisywane były wszystkie wciśnięte klawisze w oknie aplikacji o nazwach takich jak CGLog_firefox. Przyczyną takiej sytuacji było występowanie błędu frameworku CoreGraphics, co włączyło funkcję diagnostyczną w Firefoksie i Thunderbirdzie.
Mozilla donosi, że problem został już naprawiony. Użytkownicy Firefoksa i Thunderbirda powinni jednak udać się do folderu /tmp i ręcznie usunąć pliki z logami CGLog.
Aktualizacja: jak słusznie zauważacie w komentarzach, winą za sytuację nie można obciążać tylko Mozilli, ponieważ pliki zapisujące wciśnięte klawisze, w tym hasła, tworzył system Apple. Warto jednak zauważyć, że deweloper może wyłączyć tę funkcję, co też twórcy Firefoksa i Thunderbirda zrobili w jednej z kolejnych aktualizacji i po prostu szkoda, że po aktualizacji do Yosemite pojawił się gdzieś zator komunikacyjny na linii Apple-deweloper, a Mozilla nie wykryła tego zachowania systemu wcześniej. Beta testy Yosemite trwały w końcu kilka miesięcy.
*Grafika główna pochodzi z serwisu Shutterstock.