Säkerhetsfel i Safari-webbläsare sätter OS X- och iOS-användare i fara
Säkerhetsforskare har upptäckt ett allvarligt Safari-adress-falskt fel som kan lura användare om de webbplatser de besöker. Utnyttjandet fungerar på helt lappade versioner av OS X och iOS och kan användas av cyberbrottslingar vid nätfiske eller skadlig programvara.
Deusen-forskare har visat ett proof-of-concept-utnyttjande som lurar Safari-användare på iPhone, iPad och Mac till att tro att de besöker en känd eller pålitlig webbplats, medan Apples webbläsare faktiskt är ansluten till en helt annan adress, vilket kan vara används i nätfiskeattacker för att få inloggningsuppgifter eller försöka installera skadlig kod.
Den nyligen upptäckta bugg kan ses i aktion på denna webbplats, där du kommer att se din Safari-adressfält visa “dailymail.co.uk”, även om webbläsaren visar innehåll från deusen.co.uk.
Som du kan se i demonstrationen kan angripare ställa in en phishing-sida och sedan få URL: en att se ut som legitim, men adressspoofet är inte idiotsäkert.
Ett snabbtest med Safari på iPhone 6 Plus visade sidans adressfält upprepade gånger, vilket är ovanligt för webbläsaren. Liknande tester av Ars Technica, som rapporterats av Dan Goodin, visade också att demokoden är långt ifrån perfekt: ”På iPad Mini Ars testade uppdaterade adressfältet regelbundet adressen när sidan tycktes laddas om. Beteendet kan leda till att fler kunniga användare tappar att något är fel. ”
De mest angelägna OS X- och iOS-användarna skulle sannolikt märka att något är avstängt, men som alltid är fallet kan konstigheten vara obemärkt av vissa användare.
Dessutom, som Eduard Kovacs hänvisade till vid Security Week, visar JavaScript som demo bygger på att PoC-koden inte är särskilt komplex.
“De [PoC] koden är väldigt enkel: webbsidan laddas om var 10: e millisekund med funktionen setInterval (), precis innan webbläsaren kan få den riktiga sidan och så att användaren ser den “riktiga” webbadressen istället för den falska, “förklarade Manuel Humberto Santander Peláez, hanterare vid SANS Internet Storm Center.
Manuset ser ut så här:
<script> function f() { location="dailymail.co.uk/home/index.htm..."+Math.random(); } setInterval("f()",10); </script>
När du laddar en webbsida ska den laddas och förbli som den är – enkelt verifieras genom att kontrollera webbadressen och annan information om adressen genom att klicka på adressfältet. Om någon webbsida får din webbläsare att krascha eller hänga trots försök att rätta till problemet, är det bäst att inte lita på sidan du befinner dig på och helt enkelt stänga fliken eller tvångsavsluta din webbläsare.
Det här inlägget publicerades i Säkerhetsnyheter och taggades utnyttja, iOS, OS X, proof of concept, Safari. Bokmärk permalänken.