Истраживачи су открили искориштавање подметања УРЛ-ова у Сафарију и на иОС-у и ОС Кс-у који омогућава нападачима да преваре кориснике да мисле да посећују веродостојне веб локације када у ствари посећују потпуно другу адресу. Хак се може користити за крађу идентитета и дистрибуцију злонамјерног софтвера.
Истраживачи су креирали експлозив доказа који показује како функционише напад. Када корисници кликну на везу, адресна трака Сафарија говори им да посећују ввв.даилимаил.цо.ук - адресу популарног британског листа. Али у ствари, они посећују потпуно другачији УРЛ.
„Демо код није савршен“, објашњава Арс Тецхница. „На тестираном иПад Мини Арс адресна трака периодично је освежавала адресу јер се чинило да се страница поново учитавала. Понашање би могло да укаже на памет паметнијим корисницима да нешто није у реду. "
Ипак, то би могло заварати доста других корисника Сафарија да мисле да посећују оригиналне веб локације, а то има озбиљне последице. Нападачи би могли да направе веб локацију обучену као ПаиПал, на пример, и украду ваше податке за пријаву - а затим свој новац.
Експлоататор не функционише у другим прегледачима као што су Цхроме, Фирефок и Интернет Екплорер.
Арс објашњава да се ЈаваСцрипт користи да Сафари води до једне УРЛ адресе - оне која је одразјена у адресној траци - а затим га присиљава да брзо поново убаци други УРЛ пре приказивања оригиналне странице.
Аппле ће бити вољан да се позабави оваквим недостатком, који јасно ставља кориснике Сафарија и њихове податке у ризик. Надамо се да ћемо поправку видети у следећем ажурирању Сафарија и нећемо морати предуго да чекамо.