Safari-bug maakt URLs vervalsen mogelijk

Door: Raymon Mens - 12 reacties

Dingen zijn niet altijd wat ze lijken, zeker niet in Safari. De browser van Apple blijkt een bug te bevatten die het mogelijk maakt om het adres dat in de adresbalk word weergeven te spoofen. Zo lijkt het alsof je website A bezoekt, maar je bent eigenlijk op website B.

Dat maakt het voor phishers makkelijker om gebruikers in hun acties te laten trappen. Een proof of concept website laat zien dat het werkt, maar gebruikers met oog voor detail zien dat er iets aan de hand is.

De truc werkt zowel op Safari voor OS X als iOS. Door een klein script op een pagina te plaatsen, is de URL te vervalsen. Wat dit script doet is de browser door proberen te sturen naar de site waar het vervalste adres van is. Safari past de adresbalk alvast aan, maar omdat het script je heel vaak achter elkaar probeert door te sturen, vindt de eigenlijke doorsturing nooit plaats.

Zoals bovenstaande video toont, knippert het adres in de adresbalk soms. De oplettende gebruiker ziet daaraan dat er iets niet in de haak is. Chrome en Firefox zijn overigens niet vatbaar voor deze bug. Verwacht wordt dat Apple deze in de volgende iOS- en OS X-update fikst. Tot die tijd even opletten.

Reacties

12 reacties
  • Profielfoto
    Rckoenes

    Het lijkt me niet echt een bug, als je achter elkaar een andere site laad vanuit javascript dan wordt de nog te laden site Url in de balk getoond.
    De huidige site blijft echter gewoon zichtbaar, maar de je browser gaat wel vreemd gedrag vertonen, omdat hij dus de hele tijd aan het laden is.

    Als je in safari voor OSX de volledige URL in de navigatiebar laat zien dan zie je de URL de hele tijd veranderen.

  • Profielfoto
    MacAanZee

    Als hiermee webadressen vervalst kunnen worden, vind ik het wel een serieuze zaak. Ik hoop dat het dan snel verholpen kan worden, want ik gebruik het liefst alleen Safari.

  • Profielfoto
    LennyKr

    Omdat Safari de pagina steeds opnieuw blijft laden kan ik de website die wel vertoont wordt niet eens gebruiken.. Probeer maar eens iets te selecteren op die ‘proof of concept’ pagina.

    Dus voor phishers heeft dit geen nut. Ik durf te wedden dat je ook niet fatsoenlijk een tekstveld kan invullen. Je ziet de pagina wel, maar je kunt er niks mee doen. (Zo ver ik gezien heb.)

  • Profielfoto
    Koning Frank

    Sinds wanneer kan je ‘vatbaar zijn’ voor een bug?

  • Profielfoto
    Alexander Henket

    Ik zie er geen probleem in. De URL blijft maar veranderen omdat het script constant een nieuwe pagina laadt. De URL verandert mee terwijl je hij doet. Misschien omdat ik volledige URL’s aan heb staan. Die korte URL’s zijn een slecht idee. Vaak heb je geen idee waar je bent op die manier.

    Ik dacht eigenlijk dat het meer de kant op ging van de HTML5 functies voor het manipuleren van je URL zonder een pagina te verversen zodat je AJAX-ige pagina’s kunt maken terwijl je toch deeplinking toestaat. Voorbeeld: http://browserstate.github.io/history.js/demo/

    Ik werk veel met van die 1-pagina applicaties en de obscure deeplinking (vanuit de gebruiker gezien dan) is wel een dingetje.

  • Profielfoto
    essiw

    Dit is zoals voorgaande mensen zeggen niet een bug, maar wel iets dat aangepast moet worden;)

  • Profielfoto
    aartjan.nl/blog

    Voorkeuren Safari > Algemeen > Toon volledig websiteadres.

    Moet je sowieso toch al doen. Is dit ook meteen opgelost.

  • Profielfoto
    tav

    aartjan, bij algemeen vind ik deze optie niet ??

  • Profielfoto
    csteelooper

    @tav het is de ALLEREERSTE optie in Algemeen als je naar de Safari-voorkeuren gaat (OS X Yosemite). Voor iOS is er bij mijn weten geen optie met eenzelfde strekking, dus daar zou dit een ietwat belangrijker probleem zijn (tenminste, als ik gelijk heb).

  • Profielfoto
    tav

    bij mavericks is deze optie er ook niet

  • Profielfoto
    snipper

    @tav
    In Safari 8.0.6 (nieuwste versie als je de nieuwste versie van OS X 10.10.3 gebruikt) zit het bij voorkeuren / Geavanceerd tabje. Dus juist de laatste ipv eerste tabje.

  • Profielfoto
    tav

    snipper, ik gebruik mavericks en safari 7.1.6