Safari-Browser: falsche Adressen vorgaukeln möglich
Safari-Nutzer aufgepasst. Safari kommt gerade wieder in die Medien, da Angreifer in der Lage sind, beliebige Adressen in der Adresszeile des Browsers anzuzeigen, wenn eine spezielle Seite aufgerufen wird. Eine Demo zeigt das Ganze im Netz. Besucht man diese Seite, so wird in der Adresszeile die URL einer britischen Zeitung angezeigt, in Wirklichkeit befindet man sich aber auf einer anderen Seite. Angreifer könnten diese Anfälligkeit also nutzen, um Nutzern den Besuch auf einer falschen Seite vorzugaukeln.Das Ganze funktioniert unter iOS und OSX, man wird da also sicher bald mit einem Update rechnen können. Nutzer sollten die Augen offen halten, ein wenig ist das Ganze erkennbar, zumindest am Desktop – in der Adresszeile pulsiert links ein blauer Punkt. Dieser ist sichtbar, weil die betreffende Webseite im Hintergrund in 10ms-Intervallen geladen wird – und so schnell wird die aktuelle Adresse nicht geändert. Inwiefern das Ganze ausbaubar ist, muss sich zeigen – durch die flotten Reloads ist die Demoseite nicht wirklich nutzbar.
Unter iOS merkt man es aber recht deutlich. Die Browser-Zeile zuckt ziemlich, weil es sich offenbar immer wieder zur eigentlichen Domain ändern will.
Dennoch unschön.
Aber Fishing wird schwer, wenn ich in 10ms mein Passwort eingeben soll. 🙂
Bei der Demo steht bei mir nicht dailymail.co.uk sondern
http://www.dailymail.co.uk/home/index.html?random=0.9680856096092612
http://www.dailymail.co.uk/home/index.html?random=0.2738127382377232
usw.
Screenshot:
http://getthefuckoutofmypool.biz/Data/shot.png
Safari Version 8.0.5 (10600.5.17)
OS X 10.10.3 (14D136)
Bei mir sieht die Demo anders aus. Wenn ich das ausprobiere passiert:
http://getthefuckoutofmypool.biz/Data/shot.png
Safari Version 8.0.5 (10600.5.17)
OS X 10.10.3 (14D136)
Erik, Safari -> Einstellungen -> Erweitert -> Intelligentes Suchfeld [X] Vollständige Websiteadresse anzeigen, den Haken herausnehmen. Das wäre die Einstellung, wie sie bei einer Neuinstallation der Fall ist.