Дослідники виявили експлуатування підробляння URL-адрес у Safari як на iOS, так і на OS X, що дозволяє зловмисникам підманювати користувачів думати, що вони відвідують надійні веб-сайти, коли насправді вони відвідують зовсім іншу адресу. Злом можна використовувати для фішингу та розповсюдження зловмисних програм.
Дослідники створили експеримент із підтвердженням концепції, який демонструє, як працює напад. Коли користувачі натискають посилання, адресна панель Safari повідомляє їм, що вони відвідують www.dailymail.co.uk - адресу популярної британської газети. Але насправді вони відвідують зовсім іншу URL-адресу.
"Демо-код не є ідеальним", - пояснює Ars Technica. "На тестованому iPad Mini Ars адресному рядку періодично оновлювали адресу, коли сторінка, як видається, перезавантажувалася. Така поведінка може підштовхнути більш кмітливих користувачів, що щось не так ».
Тим не менш, це може змусити багатьох користувачів Safari думати, що вони відвідують справжні сайти, і це має серйозні наслідки. Зловмисники можуть створити веб-сайт, наприклад, PayPal, і вкрасти вашу інформацію про вхід - а потім і ваші гроші.
Експлуатація не працює в інших браузерах, таких як Chrome, Firefox та Internet Explorer.
Ars пояснює, що JavaScript використовується для того, щоб привести Safari до однієї URL-адреси - тієї, що відображається в адресному рядку, - а потім змушує його швидко перезавантажити іншу URL-адресу до відображення оригінальної сторінки.
Apple буде прагнути вирішити такий недолік, який, очевидно, ставить під загрозу користувачів Safari та їхні дані. Сподіваємось, ми побачимо виправлення в наступному оновлення Safari, і нам не доведеться занадто довго чекати його.