Vědci objevili zneužití zneužití adres URL v Safari na systémech iOS i OS X, které útočníkům umožňuje přimět uživatele, aby si mysleli, že navštěvují důvěryhodné weby, když ve skutečnosti navštěvují úplně jinou adresu. Hack mohl být použit pro phishing a distribuci malwaru.
Vědci vytvořili exploativní koncept, který ukazuje, jak útok funguje. Když uživatelé kliknou na odkaz, adresní řádek Safari jim řekne, že navštěvují www.dailymail.co.uk - adresu populárních britských novin. Ve skutečnosti však navštěvují úplně jinou adresu URL.
"Demo kód není dokonalý, " vysvětluje Ars Technica. "Na testovaných iPad Mini Ars adresový řádek pravidelně obnovoval adresu, jak se zdálo, že se stránka znovu načítala." Chování může tipovat více důvtipných uživatelů, že něco není v pořádku. “
Přesto by to mohlo zmást spoustu dalších uživatelů Safari, aby si mysleli, že navštěvují originální stránky, a to má vážné důsledky. Útočníci by mohli například vytvořit web oblečený jako PayPal a ukrást vaše přihlašovací údaje - a pak své peníze.
Využití nefunguje v jiných prohlížečích, jako je Chrome, Firefox a Internet Explorer.
Ars vysvětluje, že JavaScript slouží k tomu, aby Safari vedl k jedné URL - té, která se odráží v adresním řádku - a poté ji přinutí rychle načíst další URL, než se zobrazí původní stránka.
Apple se bude snažit vyřešit takovou chybu, která jasně ohrožuje uživatele Safari a jejich data. Doufejme, že uvidíme opravu v příští aktualizaci Safari a nebudeme muset čekat příliš dlouho.