Forskare har upptäckt en URL-förfalskningsutnyttjande i Safari på både iOS och OS X som gör det möjligt för angripare att lura användare att tro att de besöker betrodda webbplatser när de faktiskt besöker en helt annan adress. Hacket kan användas för phishing och för att distribuera skadlig programvara.
Forskarna har skapat ett bevis-of-concept-utnyttjande som visar hur attacken fungerar. När användare klickar på länken berättar Safaris adressfält att de besöker www.dailymail.co.uk - adressen till en populär brittisk tidning. Men faktiskt besöker de en helt annan URL.
"Demokoden är inte perfekt", förklarar Ars Technica. ”På den testade iPad Mini Ars uppdaterades adressfältet adressen periodvis eftersom sidan tycktes ladda om. Beteendet kan tippa mer kunniga användare på att något är fel. ”
Ändå kan det lura många andra Safari-användare att tro att de besöker äkta webbplatser, och det har allvarliga konsekvenser. Angripare kan till exempel skapa en webbplats klädd som PayPal, och stjäla din inloggningsinformation - och sedan dina pengar.
Utnyttjandet fungerar inte i andra webbläsare som Chrome, Firefox och Internet Explorer.
Ars förklarar att JavaScript används för att leda Safari till en URL - den som återspeglas i adressfältet - och tvingar den sedan att ladda om en annan URL innan den ursprungliga sidan visas.
Apple kommer att vara angelägen om att hantera en sådan brist som tydligt sätter Safari-användare och deras data i riskzonen. Förhoppningsvis ser vi en fix i nästa Safari-uppdatering, och vi behöver inte vänta för länge på det.