Safari exploit lader hackere narre brugerne til at besøge spoof-adresser

Forskere har opdaget en URL-spoofingudnyttelse i Safari på både iOS og OS X, der giver angribere mulighed for at narre brugerne til at tro, at de besøger betroede websteder, når de faktisk besøger en helt anden adresse. Hacket kunne bruges til phishing og til at distribuere malware.

Forskerne har oprettet en proof-of-concept udnyttelse, der demonstrerer, hvordan angrebet fungerer. Når brugerne klikker på linket, fortæller Safaris adresselinje, at de besøger www.dailymail.co.uk - adressen på en populær britisk avis. Men faktisk besøger de en helt anden URL.

"Demokoden er ikke perfekt, " forklarer Ars Technica. ”På den testede iPad Mini Ars opdaterede adresselinjen periodisk adressen, da siden så ud til at genindlæses. Opførslen kan tipse mere kyndige brugere om, at noget er galt. ”

Ikke desto mindre kunne det narre mange andre Safari-brugere til at tro, at de besøger ægte websteder, og det har alvorlige konsekvenser. Angribere kunne for eksempel oprette et websted, klædt ud som PayPal, og stjæle dine loginoplysninger - og derefter dine penge.

Udnyttelsen fungerer ikke i andre browsere som Chrome, Firefox og Internet Explorer.

Ars forklarer, at JavaScript bruges til at føre Safari til en URL - den der reflekteres i adresselinjen - og tvinger den derefter til hurtigt at genindlæse en anden URL, før den originale side vises.

Apple vil være opsat på at tackle en fejl som denne, der tydeligt sætter Safari-brugere og deres data i fare. Forhåbentlig ser vi en rettelse i den næste Safari-opdatering, og vi behøver ikke vente for længe på det.



Populære Indlæg