Dingen zijn niet altijd wat ze lijken, zeker niet in Safari. De browser van Apple blijkt een bug te bevatten die het mogelijk maakt om het adres dat in de adresbalk word weergeven te spoofen. Zo lijkt het alsof je website A bezoekt, maar je bent eigenlijk op website B.
Dat maakt het voor phishers makkelijker om gebruikers in hun acties te laten trappen. Een proof of concept website laat zien dat het werkt, maar gebruikers met oog voor detail zien dat er iets aan de hand is.
De truc werkt zowel op Safari voor OS X als iOS. Door een klein script op een pagina te plaatsen, is de URL te vervalsen. Wat dit script doet is de browser door proberen te sturen naar de site waar het vervalste adres van is. Safari past de adresbalk alvast aan, maar omdat het script je heel vaak achter elkaar probeert door te sturen, vindt de eigenlijke doorsturing nooit plaats.
Zoals bovenstaande video toont, knippert het adres in de adresbalk soms. De oplettende gebruiker ziet daaraan dat er iets niet in de haak is. Chrome en Firefox zijn overigens niet vatbaar voor deze bug. Verwacht wordt dat Apple deze in de volgende iOS- en OS X-update fikst. Tot die tijd even opletten.
OneMoreThing.nl