นักวิจัยได้ค้นพบช่องโหว่การปลอมแปลง URL ใน Safari บนทั้ง iOS และ OS X ที่ช่วยให้ผู้โจมตีหลอกให้ผู้ใช้คิดว่าพวกเขากำลังเยี่ยมชมเว็บไซต์ที่เชื่อถือได้เมื่อพวกเขากำลังเยี่ยมชมที่อยู่ที่แตกต่างกันโดยสิ้นเชิง แฮกสามารถใช้สำหรับฟิชชิงและเพื่อแจกจ่ายมัลแวร์
นักวิจัยได้สร้างการหาประโยชน์จากแนวคิดที่แสดงให้เห็นว่าการโจมตีทำงานอย่างไร เมื่อผู้ใช้คลิกที่ลิงค์แถบที่อยู่ของ Safari จะบอกพวกเขาว่าพวกเขากำลังเยี่ยมชม www.dailymail.co.uk - ที่อยู่ของหนังสือพิมพ์อังกฤษยอดนิยม แต่ในความเป็นจริงพวกเขากำลังเยี่ยมชม URL ที่แตกต่างกันโดยสิ้นเชิง
“ รหัสตัวอย่างไม่สมบูรณ์” Ars Technica อธิบาย “ ในการทดสอบ iPad Mini Ars แถบที่อยู่จะรีเฟรชที่อยู่เป็นระยะ ๆ ตามที่ปรากฏว่าหน้าเว็บโหลดซ้ำ พฤติกรรมดังกล่าวอาจช่วยให้ผู้ใช้ที่เข้าใจมากขึ้นเข้าใจว่ามีบางอย่างผิดปกติ”
อย่างไรก็ตามมันอาจหลอกผู้ใช้ Safari คนอื่น ๆ ให้คิดว่าพวกเขากำลังเยี่ยมชมเว็บไซต์ของแท้และมีผลกระทบร้ายแรง ผู้โจมตีสามารถสร้างเว็บไซต์ที่แต่งตัวเป็น PayPal ตัวอย่างเช่นและขโมยข้อมูลเข้าสู่ระบบของคุณ - และเงินของคุณ
การหาประโยชน์ไม่สามารถใช้ได้กับเบราว์เซอร์อื่นเช่น Chrome, Firefox และ Internet Explorer
Ars อธิบายว่ามีการใช้ JavaScript เพื่อนำ Safari ไปยัง URL เดียวซึ่งสะท้อนในแถบที่อยู่จากนั้นบังคับให้โหลด URL อีกครั้งอย่างรวดเร็วก่อนที่จะแสดงหน้าต้นฉบับ
Apple จะกระตือรือร้นที่จะแก้ไขข้อบกพร่องเช่นนี้ซึ่งทำให้ผู้ใช้ Safari และข้อมูลของพวกเขาตกอยู่ในความเสี่ยงอย่างชัดเจน หวังว่าเราจะเห็นการแก้ไขในการอัปเดต Safari ครั้งถัดไปและเราไม่ต้องรอนานเกินไป