Istraživači su otkrili iskorištavanje URL-a za podmetanje URL-a u Safariju i na iOS-u i OS X-u koji omogućava napadačima da zavedu korisnike u razmišljanju da posjećuju pouzdane web stranice kada u stvari posjećuju sasvim drugu adresu. Hak se može koristiti za krađu identiteta i distribuciju zlonamjernog softvera.
Istraživači su stvorili eksploziv dokaza koji pokazuje kako napad napada. Kada korisnici kliknu na vezu, Safarijska adresna traka govori im da posjećuju www.dailymail.co.uk - adresu popularnog britanskog lista. Ali u stvari, oni posjećuju potpuno drugačiji URL.
"Demo kod nije savršen", objašnjava Ars Technica. "Na testiranom iPad Mini Ars adresna traka periodično je osvježavala adresu jer se činilo da se stranica ponovno učitavala. Ponašanje bi moglo navesti mnogo pametnijih korisnika da nešto nije u redu. "
Ipak, to bi moglo zavarati dosta drugih korisnika Safarija da misle da posjećuju originalne web stranice, a to ima ozbiljne posljedice. Napadači bi mogli stvoriti web mjesto, na primjer, kao PayPal, i ukrasti podatke za prijavu - a zatim i vaš novac.
Iskorištavanje ne funkcionira u drugim preglednicima kao što su Chrome, Firefox i Internet Explorer.
Ars objašnjava da se JavaScript koristi da Safari vodi do jednog URL-a - onog koji je odražen u adresnoj traci - a zatim ga prisiljava da brzo ponovno učita još jedan URL prije nego što se pojavi originalna stranica.
Apple će se voljeti pozabaviti ovakvim nedostatkom, što jasno dovodi korisnike Safarija i njihove podatke u opasnost. Nadamo se da ćemo popraviti popravke u sljedećem ažuriranju Safarija i nećemo ga morati predugo čekati.