Tutkijat ovat löytäneet URL-väärentämisen Safarissa sekä iOS: ssä että OS X: ssä, minkä ansiosta hyökkääjät voivat huijata käyttäjiä ajattelemaan, että he käyvät luotetuilla verkkosivustoilla, kun todellisuudessa he käyvät aivan eri osoitteessa. Hakkaa voidaan käyttää tietojenkalastelussa ja haittaohjelmien levittämisessä.
Tutkijat ovat luoneet konseptikontrollin, joka osoittaa hyökkäyksen toiminnan. Kun käyttäjät napsauttavat linkkiä, Safarin osoitepalkki kertoo heidän vierailevansa osoitteessa www.dailymail.co.uk - suositun brittiläisen sanomalehden osoite. Mutta tosiasiassa, he käyvät täysin eri URL-osoitteessa.
"Demokoodi ei ole täydellinen", Ars Technica selittää . ”Testatussa iPad Mini Ars -sovelluksessa osoitepalkki päivitti osoitteen määräajoin, kun sivu näytti latautuvan uudelleen. Käyttäytyminen saattaa tiputtaa taitavampia käyttäjiä siihen, että jotain on väärin. ”
Siitä huolimatta se voi huijata paljon muita Safari-käyttäjiä ajattelemaan käyvänsä aitoilla sivustoilla, ja sillä on vakavia vaikutuksia. Hyökkääjät voivat luoda esimerkiksi PayPal-pukeutuneen verkkosivuston ja varastaa kirjautumistietosi - ja sitten rahat.
Hyödyntäminen ei toimi muissa selaimissa, kuten Chromessa, Firefoxissa ja Internet Explorerissa.
Ars selittää, että JavaScriptiä käytetään johtamaan Safari yhteen URL-osoitteeseen - osoitepalkkiin heijastuvaan URL-osoitteeseen - pakottaa sen sitten lataamaan nopeasti toisen URL-osoitteen ennen kuin alkuperäinen sivu näytetään.
Apple aikoo kiinnittää huomiota tällaiseen virheeseen, joka asettaa Safarin käyttäjät ja heidän tiedot selvästi vaaraan. Toivottavasti näemme korjauksen seuraavassa Safari-päivityksessä, eikä meidän tarvitse odottaa sitä liian kauan.