Cercetătorii au descoperit o operațiune de răspândire a adreselor URL în Safari atât pe iOS cât și pe OS X, care permite atacatorilor să-i păcălească pe utilizatori să creadă că vizitează site-uri web de încredere atunci când de fapt vizitează o adresă complet diferită. Hackul ar putea fi folosit pentru phishing și pentru a distribui malware.
Cercetătorii au creat o exploatare de dovadă a conceptului care demonstrează modul în care funcționează atacul. Când utilizatorii fac clic pe link, bara de adrese Safari le spune că vizitează www.dailymail.co.uk - adresa unui ziar britanic popular. În realitate, aceștia vizitează o adresă URL total diferită.
„Codul demo nu este perfect”, explică Ars Technica. „Pe iPad Mini Ars testat, bara de adrese a reîmprospătat periodic adresa pe măsură ce pagina a reîncărcat. Comportamentul ar putea să renunțe la utilizatorii mai pricepuți că ceva este bine. ”
Cu toate acestea, ar putea păcăli mulți alți utilizatori Safari să creadă că vizitează site-uri autentice și asta are implicații grave. Atacanții ar putea crea un site web îmbrăcat ca PayPal, de exemplu, și să vă fure informațiile de conectare - și apoi banii.
Exploit-ul nu funcționează în alte browsere precum Chrome, Firefox și Internet Explorer.
Ars explică faptul că JavaScript este folosit pentru a conduce Safari la o adresă URL - cea reflectată în bara de adrese - apoi o obligă să reîncarce rapid o altă adresă URL înainte ca pagina originală să fie afișată.
Apple va dori să abordeze un defect ca acesta, ceea ce pune în mod clar utilizatorii Safari și datele lor în pericol. Sperăm că vom vedea o soluție în următoarea actualizare Safari și nu va trebui să așteptăm prea mult pentru asta.