Teadlased on avastanud nii iOS-is kui ka OS X-is Safaris URL-i võltsimise ärakasutamise, mis võimaldab ründajatel meelitada kasutajaid mõtlema, kas nad külastavad usaldusväärseid veebisaite, kui nad tegelikult külastavad hoopis teist aadressi. Häkki võiks kasutada andmepüügiks ja pahavara levitamiseks.
Teadlased on loonud kontseptsiooni tõestamise ekspluateerimise, mis näitab, kuidas rünnak toimib. Kui kasutajad lingil klõpsavad, teatab Safari aadressiriba, et nad külastavad veebisaiti www.dailymail.co.uk - populaarse Briti ajalehe aadress. Tegelikult külastavad nad aga hoopis teistsugust URL-i.
“Demokood pole täiuslik, ” selgitab Ars Technica. “Testitud iPad Mini Ars'is värskendas aadressiriba aadressi perioodiliselt, kuna leht näis uuesti laadivat. See käitumine võib asjatundlikumatele kasutajatele näidata ära, et midagi on valesti. ”
Sellest hoolimata võib see paljudele teistele Safari kasutajatele mõelda, et nad külastavad ehtsaid saite, ja sellel on tõsised tagajärjed. Ründajad võivad luua näiteks PayPali moodi veebisaidi ja varastada teie sisselogimisandmeid - ja siis ka teie raha.
See ärakasutamine ei tööta teistes brauserites, nagu Chrome, Firefox ja Internet Explorer.
Ars selgitab, et JavaScripti kasutatakse Safari viimiseks ühele URL-ile - aadressiribale peegelduvale - siis sunnib see enne algse lehe kuvamist teise URL-i kiiresti uuesti laadima.
Apple soovib sedalaadi viga lahendada, mis seab Safari kasutajad ja nende andmed selgelt ohtu. Loodetavasti näeme järgmises Safari värskenduses parandust ja me ei pea seda liiga kaua ootama.