Forscher haben in Safari sowohl unter iOS als auch unter OS X einen URL-Spoofing-Exploit entdeckt, der es Angreifern ermöglicht, Benutzer zu täuschen, dass sie vertrauenswürdige Websites besuchen, während sie tatsächlich eine ganz andere Adresse besuchen. Der Hack könnte zum Phishing und zur Verbreitung von Malware verwendet werden.
Die Forscher haben einen Proof-of-Concept-Exploit erstellt, der die Funktionsweise des Angriffs demonstriert. Wenn Benutzer auf den Link klicken, wird ihnen in der Adressleiste von Safari mitgeteilt, dass sie www.dailymail.co.uk besuchen - die Adresse einer beliebten britischen Zeitung. Tatsächlich besuchen sie jedoch eine völlig andere URL.
"Der Demo-Code ist nicht perfekt", erklärt Ars Technica. „Auf dem getesteten iPad Mini Ars hat die Adressleiste die Adresse regelmäßig aktualisiert, als die Seite neu geladen wurde. Das Verhalten könnte versierte Benutzer darauf hinweisen, dass etwas nicht stimmt. “
Dennoch könnte es viele andere Safari-Benutzer täuschen, dass sie echte Websites besuchen, und das hat schwerwiegende Folgen. Angreifer könnten beispielsweise eine als PayPal verkleidete Website erstellen und Ihre Anmeldeinformationen stehlen - und dann Ihr Geld.
Der Exploit funktioniert nicht in anderen Browsern wie Chrome, Firefox und Internet Explorer.
Ars erklärt, dass JavaScript verwendet wird, um Safari zu einer URL zu führen - die in der Adressleiste angezeigt wird - und diese dann zwingt, eine andere URL schnell neu zu laden, bevor die ursprüngliche Seite angezeigt wird.
Apple ist sehr daran interessiert, einen Fehler wie diesen zu beheben, durch den Safari-Benutzer und ihre Daten eindeutig gefährdet werden. Wir hoffen, dass wir im nächsten Safari-Update einen Fix finden und nicht zu lange darauf warten müssen.