Badacze odkryli exploit polegający na fałszowaniu adresów URL w Safari zarówno w systemie iOS, jak i OS X, który pozwala atakującym nakłonić użytkowników do myślenia, że odwiedzają zaufane strony internetowe, podczas gdy w rzeczywistości odwiedzają zupełnie inny adres. Włamanie może być wykorzystane do phishingu i rozpowszechniania złośliwego oprogramowania.
Naukowcy stworzyli exploit typu proof-of-concept, który pokazuje, jak działa atak. Gdy użytkownicy klikną link, pasek adresu Safari informuje ich, że odwiedzają www.dailymail.co.uk - adres popularnej brytyjskiej gazety. Ale w rzeczywistości odwiedzają zupełnie inny adres URL.
„Kod demonstracyjny nie jest idealny”, wyjaśnia Ars Technica. „W testowanym iPadzie Mini Ars pasek adresu okresowo odświeżał adres, gdy strona ładowała się ponownie. Zachowanie to może sugerować bardziej doświadczonym użytkownikom, że coś jest nie tak. ”
Niemniej jednak może oszukać wielu innych użytkowników Safari, że myślą, że odwiedzają oryginalne witryny, a to ma poważne konsekwencje. Atakujący mogą na przykład stworzyć stronę internetową przebraną za PayPal i ukraść dane do logowania - a następnie pieniądze.
Exploit nie działa w innych przeglądarkach, takich jak Chrome, Firefox i Internet Explorer.
Ars wyjaśnia, że JavaScript jest używany do poprowadzenia Safari do jednego adresu URL - tego odzwierciedlonego w pasku adresu - a następnie zmusza go do szybkiego ponownego załadowania innego adresu URL przed wyświetleniem oryginalnej strony.
Apple będzie chętnie zająć się taką luką, która wyraźnie zagraża użytkownikom Safari i ich danym. Mamy nadzieję, że zobaczymy poprawkę w następnej aktualizacji Safari i nie będziemy musieli na nią zbyt długo czekać.