02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Обозреватель Safari для iOS уязвим для фишинговых атак

 

Немецкие исследователи в области безопасности обнаружили уязвимость в системе безопасности обозревателя Safari для мобильных утройств. В случае ее успешной эксплуатации хакеры могут заполучить приватные данные пользователя.

Судя по описанию, исследователи обнаружили ошибку в исполнении некоторых сценариев JavaScript, что потенциально может позволить провести фишиновую атаку и стать причиной кражи данных или перенаправить пользователя на заранее заданный ресурс. По мнению специалистов, уязвимость заключается в неправильной обработке функции javascript window.open().

Для демонстрации исследователи создали поддельную станицу легитимного ресурса (в качестве примера была выбрана «www.apple.com») и разместили ее на другом сервере, а также разработали экспериментальный образец эксплойта. После некоторых манипуляций, набрав в адресной строке ссылку легитимного ресурса, мобильный обозреватель открыл в новом окне поддельную страницу сайта Apple, размещенную на другом сервере, но при этом сохранился адрес легитимной страницы.

По мнению экспертов, данный дефект может быть использован для получения конфиденциальных данных и пользователь даже не заподозрит подвоха, так как в адресной строке отображается оригинальная ссылка. Единственной возможностью отличить поддельный ресурс от легитимного — это неаккуратность в реализации страницы. Однако если нужная страница будет аккуратно реализована, успех гарантирован.

Изъян в системе безопасности был обнаружен в последних версиях обозревателя Safari 5.1 для iPhone 4, iPhone 4S, iPad 2 и iPad 3, но вполне возможно, ошибка может быть и в других сборках.{jcomments on}