Safari-Browser: falsche Adressen vorgaukeln möglich

Safari

Safari-Nutzer aufgepasst. Safari kommt gerade wieder in die Medien, da Angreifer in der Lage sind, beliebige Adressen in der Adresszeile des Browsers anzuzeigen, wenn eine spezielle Seite aufgerufen wird. Eine Demo zeigt das Ganze im Netz. Besucht man diese Seite, so wird in der Adresszeile die URL einer britischen Zeitung angezeigt, in Wirklichkeit befindet man sich aber auf einer anderen Seite. Angreifer könnten diese Anfälligkeit also nutzen, um Nutzern den Besuch auf einer falschen Seite vorzugaukeln.Das Ganze funktioniert unter iOS und OSX, man wird da also sicher bald mit einem Update rechnen können. Nutzer sollten die Augen offen halten, ein wenig ist das Ganze erkennbar, zumindest am Desktop – in der Adresszeile pulsiert links ein blauer Punkt. Dieser ist sichtbar, weil die betreffende Webseite im Hintergrund in 10ms-Intervallen geladen wird – und so schnell wird die aktuelle Adresse nicht geändert. Inwiefern das Ganze ausbaubar ist, muss sich zeigen – durch die flotten Reloads ist die Demoseite nicht wirklich nutzbar.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Unter iOS merkt man es aber recht deutlich. Die Browser-Zeile zuckt ziemlich, weil es sich offenbar immer wieder zur eigentlichen Domain ändern will.
    Dennoch unschön.

  2. Aber Fishing wird schwer, wenn ich in 10ms mein Passwort eingeben soll. 🙂

  3. Bei der Demo steht bei mir nicht dailymail.co.uk sondern

    http://www.dailymail.co.uk/home/index.html?random=0.9680856096092612
    http://www.dailymail.co.uk/home/index.html?random=0.2738127382377232
    usw.

    Screenshot:
    http://getthefuckoutofmypool.biz/Data/shot.png

    Safari Version 8.0.5 (10600.5.17)
    OS X 10.10.3 (14D136)

  4. Bei mir sieht die Demo anders aus. Wenn ich das ausprobiere passiert:
    http://getthefuckoutofmypool.biz/Data/shot.png

    Safari Version 8.0.5 (10600.5.17)
    OS X 10.10.3 (14D136)

  5. Erik, Safari -> Einstellungen -> Erweitert -> Intelligentes Suchfeld [X] Vollständige Websiteadresse anzeigen, den Haken herausnehmen. Das wäre die Einstellung, wie sie bei einer Neuinstallation der Fall ist.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.