Forskere har oppdaget en URL-spoofing-utnyttelse i Safari på både iOS og OS X som lar angripere lure brukere til å tro at de besøker pålitelige nettsteder når de faktisk besøker en helt annen adresse. Hacket kan brukes til phishing og til å distribuere skadelig programvare.
Forskerne har laget en proof-of-concept utnyttelse som demonstrerer hvordan angrepet fungerer. Når brukere klikker på lenken, forteller Safaris adressefelt at de besøker www.dailymail.co.uk - adressen til en populær britisk avis. Men faktisk besøker de en helt annen URL.
"Demokoden er ikke perfekt, " forklarer Ars Technica. “På iPad Mini Ars som ble testet, oppdaterte adresselinjen periodisk adressen etter hvert som siden så ut til å lastes på nytt. Oppførselen kan tipse mer kyndige brukere om at noe er galt. ”
Likevel kan det lure mange andre Safari-brukere til å tro at de besøker ekte nettsteder, og det har alvorlige implikasjoner. Angripere kan for eksempel lage et nettsted utkledd som PayPal, og stjele innloggingsinformasjonen din - og deretter pengene dine.
Utnyttelsen fungerer ikke i andre nettlesere som Chrome, Firefox og Internet Explorer.
Ars forklarer at JavaScript brukes til å føre Safari til en URL - den som reflekteres i adressefeltet - og tvinger den til å raskt laste inn en annen URL før den originale siden vises.
Apple vil være opptatt av å løse en feil som dette, som tydelig setter Safari-brukere og deres data i fare. Forhåpentligvis får vi se en løsning i neste Safari-oppdatering, og vi trenger ikke å vente for lenge på det.