Onderzoekers hebben een URL-spoofing-exploit in Safari op zowel iOS als OS X ontdekt waarmee aanvallers gebruikers kunnen misleiden door te denken dat ze vertrouwde websites bezoeken terwijl ze in feite een geheel ander adres bezoeken. De hack kan worden gebruikt voor phishing en om malware te verspreiden.
De onderzoekers hebben een proof-of-concept-exploit gemaakt die laat zien hoe de aanval werkt. Wanneer gebruikers op de link klikken, vertelt de adresbalk van Safari dat ze www.dailymail.co.uk bezoeken - het adres van een populaire Britse krant. Maar in feite bezoeken ze een totaal andere URL.
"De demo-code is niet perfect", legt Ars Technica uit. “Op de iPad Mini Ars die werd getest, vernieuwde de adresbalk het adres periodiek terwijl de pagina leek te herladen. Het gedrag kan meer slimme gebruikers laten weten dat er iets mis is. '
Desondanks kan het veel andere Safari-gebruikers voor de gek houden door te denken dat ze echte sites bezoeken, en dat heeft ernstige implicaties. Aanvallers kunnen bijvoorbeeld een website maken die verkleed is als PayPal en uw inloggegevens stelen - en vervolgens uw geld.
De exploit werkt niet in andere browsers zoals Chrome, Firefox en Internet Explorer.
Ars legt uit dat JavaScript wordt gebruikt om Safari naar een URL te leiden - de URL die wordt weergegeven in de adresbalk - en dwingt deze vervolgens om snel een andere URL opnieuw te laden voordat de oorspronkelijke pagina wordt weergegeven.
Apple wil graag een dergelijke fout aanpakken, die Safari-gebruikers en hun gegevens duidelijk in gevaar brengt. Hopelijk zien we een oplossing in de volgende Safari-update en hoeven we er niet te lang op te wachten.