Safari-Browser: falsche Adressen vorgaukeln möglich

Safari

Safari-Nutzer aufgepasst. Safari kommt gerade wieder in die Medien, da Angreifer in der Lage sind, beliebige Adressen in der Adresszeile des Browsers anzuzeigen, wenn eine spezielle Seite aufgerufen wird. Eine Demo zeigt das Ganze im Netz. Besucht man diese Seite, so wird in der Adresszeile die URL einer britischen Zeitung angezeigt, in Wirklichkeit befindet man sich aber auf einer anderen Seite. Angreifer könnten diese Anfälligkeit also nutzen, um Nutzern den Besuch auf einer falschen Seite vorzugaukeln.Das Ganze funktioniert unter iOS und OSX, man wird da also sicher bald mit einem Update rechnen können. Nutzer sollten die Augen offen halten, ein wenig ist das Ganze erkennbar, zumindest am Desktop – in der Adresszeile pulsiert links ein blauer Punkt. Dieser ist sichtbar, weil die betreffende Webseite im Hintergrund in 10ms-Intervallen geladen wird – und so schnell wird die aktuelle Adresse nicht geändert. Inwiefern das Ganze ausbaubar ist, muss sich zeigen – durch die flotten Reloads ist die Demoseite nicht wirklich nutzbar.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Unter iOS merkt man es aber recht deutlich. Die Browser-Zeile zuckt ziemlich, weil es sich offenbar immer wieder zur eigentlichen Domain ändern will.
    Dennoch unschön.

  2. Aber Fishing wird schwer, wenn ich in 10ms mein Passwort eingeben soll. 🙂

  3. Bei der Demo steht bei mir nicht dailymail.co.uk sondern

    http://www.dailymail.co.uk/home/index.html?random=0.9680856096092612
    http://www.dailymail.co.uk/home/index.html?random=0.2738127382377232
    usw.

    Screenshot:
    http://getthefuckoutofmypool.biz/Data/shot.png

    Safari Version 8.0.5 (10600.5.17)
    OS X 10.10.3 (14D136)

  4. Bei mir sieht die Demo anders aus. Wenn ich das ausprobiere passiert:
    http://getthefuckoutofmypool.biz/Data/shot.png

    Safari Version 8.0.5 (10600.5.17)
    OS X 10.10.3 (14D136)

  5. Erik, Safari -> Einstellungen -> Erweitert -> Intelligentes Suchfeld [X] Vollständige Websiteadresse anzeigen, den Haken herausnehmen. Das wäre die Einstellung, wie sie bei einer Neuinstallation der Fall ist.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.