Изследователите откриха експлоатация за подправяне на URL адреси в Safari както на iOS, така и на OS X, която позволява на нападателите да подмамят потребителите да мислят, че посещават надеждни уебсайтове, когато всъщност посещават съвсем различен адрес. Хакът може да се използва за фишинг и за разпространение на зловреден софтуер.
Изследователите създадоха експлоатация с доказателство за концепция, която демонстрира как работи атаката. Когато потребителите кликнат върху връзката, адресната лента на Safari им казва, че посещават www.dailymail.co.uk - адресът на популярен британски вестник. Но всъщност те посещават съвсем различен URL адрес.
„Демонстрационният код не е перфектен“, обяснява Ars Technica. „При тествания iPad Mini Ars адресната лента периодично освежава адреса, тъй като страницата изглежда се презарежда. Поведението може да подтикне по-разбираемите потребители, че нещо не е наред. “
Независимо от това, това може да заблуди много други потребители на Safari да мислят, че посещават истински сайтове и това има сериозни последици. Нападателите могат да създадат уебсайт, облечен като PayPal, например, и да откраднат данните ви за вход - и след това парите си.
Експлоатацията не работи в други браузъри като Chrome, Firefox и Internet Explorer.
Ars обяснява, че JavaScript се използва, за да доведе Safari до един URL адрес - този, отразен в адресната лента, след което го принуждава бързо да презареди още един URL адрес, преди да се покаже оригиналната страница.
Apple ще има желание да се справи с подобен недостатък, който очевидно излага потребителите на Safari и техните данни. Надяваме се, че ще видим поправка в следващата актуализация на Safari и няма да се налага да чакаме твърде дълго за това.