يتيح Safari استغلال إمكانية قيام المتسللين بخداع المستخدمين لزيارة عناوين محاكاة ساخرة

اكتشف الباحثون استغلالًا خداعًا لعناوين URL في Safari على كل من iOS و OS X والذي يسمح للمهاجمين بخداع المستخدمين للاعتقاد بأنهم يزورون مواقع موثوق بها أثناء زيارتهم لعنوان مختلف تمامًا في الواقع. يمكن استخدام الاختراق للتصيد الاحتيالي وتوزيع البرامج الضارة.

ابتكر الباحثون دليلًا على إثبات المفهوم يوضح كيفية عمل الهجوم. عندما ينقر المستخدمون على الرابط ، يخبرهم شريط عناوين Safari أنهم يزورون www.dailymail.co.uk - عنوان إحدى الصحف البريطانية الشهيرة. ولكن في الواقع الفعلي ، يزورون عنوان URL مختلفًا تمامًا.

"رمز العرض التوضيحي ليس مثاليًا" ، يوضح Ars Technica. "على جهاز iPad Mini Ars الذي تم اختباره ، قام شريط العنوان بتحديث العنوان بشكل دوري حيث بدا أن الصفحة تعيد التحميل. قد ينزع السلوك المستخدمين الأكثر ذكاءًا بأن هناك شيئًا ما غير صحيح ".

ومع ذلك ، يمكن أن يخدع الكثير من مستخدمي Safari الآخرين بالاعتقاد أنهم يزورون مواقع أصلية ، وهذا له آثار خطيرة. يمكن للمهاجمين إنشاء موقع ويب يرتدي زي PayPal ، على سبيل المثال ، وسرقة معلومات تسجيل الدخول الخاصة بك - ثم أموالك.

لا يعمل الاستغلال في المتصفحات الأخرى مثل Chrome و Firefox و Internet Explorer.

يوضح Ars أن JavaScript يستخدم لتوجيه Safari إلى عنوان URL واحد - الذي ينعكس في شريط العناوين - ثم يفرض عليه إعادة تحميل عنوان URL آخر بسرعة قبل عرض الصفحة الأصلية.

ستحرص Apple على معالجة مثل هذا الخلل ، مما يعرض مستخدمي Safari وبياناتهم للخطر بشكل واضح. نأمل أن نرى إصلاحًا في تحديث Safari التالي ، ولن نضطر إلى الانتظار طويلاً لذلك.



المشاركات الشعبية