Pētnieki ir atklājuši vietrāžu URL krāpšanos Safari gan iOS, gan OS X, kas ļauj uzbrucējiem mānīt lietotājus domāt, ka viņi apmeklē uzticamas vietnes, patiesībā apmeklējot pavisam citu adresi. Hakeru varēja izmantot pikšķerēšanai un ļaunprātīgas programmatūras izplatīšanai.
Pētnieki ir izveidojuši koncepcijas pierādījuma izmantošanu, kas demonstrē, kā uzbrukums notiek. Kad lietotāji noklikšķina uz saites, Safari adreses josla paziņo, ka viņi apmeklē vietni www.dailymail.co.uk - populārā britu laikraksta adresi. Bet patiesībā viņi apmeklē pavisam citu URL.
“Demo kods nav ideāls, ” skaidro Ars Technica. “Pārbaudītajā iPad Mini Ars adreses josla periodiski atjaunināja adresi, jo šķita, ka lapa tiek atkārtoti ielādēta. Uzvedība varētu prasmīgākiem lietotājiem aizrādīt, ka kaut kas nav pareizi. ”
Tomēr tas varētu apmānīt daudzus citus Safari lietotājus domāt, ka viņi apmeklē īstas vietnes, un tam ir nopietnas sekas. Uzbrucēji varētu izveidot vietni, kas, piemēram, veidota kā PayPal, un nozagt jūsu pieteikšanās informāciju un pēc tam arī naudu.
Izmantošana nedarbojas citās pārlūkprogrammās, piemēram, Chrome, Firefox un Internet Explorer.
Ars skaidro, ka JavaScript tiek izmantots, lai Safari novirzītu uz vienu URL - tas, kas atspoguļots adreses joslā - pēc tam liek tam ātri atkārtoti ielādēt citu URL, pirms tiek parādīta sākotnējā lapa.
Apple labprāt pievērsīsies šādai kļūdai, kas nepārprotami pakļauj riskam Safari lietotājus un viņu datus. Cerams, ka nākamajā Safari atjauninājumā mēs redzēsim labojumu, un mums tas nebūs jāgaida pārāk ilgi.