Mobilne Safari podatne na atak

Okazuje się, że przewaga iPhone (iOS) nad Androidem w dziedzinie bezpieczeństwa nie zapewnia zupełnego braku zagrożeń dla użytkowników sprzętu z nadgryzionym jabłkiem. Popularna na tym sprzęcie przeglądarka cierpi na podatność, która umożliwia podmianę URL w pasku adresu Safari przy pomocy JavaScript. Sposób działania jest bardzo prosty — złośliwa strona przy użyciu funkcji setInterval i zmiany podmienia adres na istniejącą domenę z nieistniejącym portem, np. gmail.com:8080.

Safari wyświetla zawartość złośliwej strony, jednocześnie próbując połączyć się z niepoprawnym adresem, który atakujący podstawił w pasku adresu (nieistniejący port nie pozwoli na nawiązanie połączenia i przekierowanie). Na podobny błąd podatna była również przeglądarka Edge, jednak Microsoft stanął na wysokości zadania i załatał dziurę. Apple wciąż pracuje nad łatką, która ujrzy światło dzienne najprawdopodobniej wraz z iOS 12.

Jeżeli używasz Safari, to niestety bez ingerencji ze strony Apple niewiele możesz zrobić, aby się przed tym błędem obronić. Jednym z elementów na jaki powinieneś zwrócić uwagę jest pasek postępu (pod URL) sugerujący, że strona w dalszym ciągu się ładuje. Możesz również sprawdzić, czy do domeny nie został dodany port — wymaga to kliknięcia w pasek adresowy, bo standardowo Safari pokazuje tylko nazwę domeny.

Do czasu usunięcia błędu posiadaczom iPhone zalecamy korzystanie z innych przeglądarek niż Safari.