Mobilne Safari podatne na atak

14 września 2018, 16:19 , autor: Mirosław Dyka - legalniewsieci.pl

Rafay Baloch, pakistański specjalista od bezpieczeństwa w Internecie, zamieścił na swoim blogu informację o poważnej dziurze w mobilnej wersji Safari. Problem dotyczy możliwej podmiany informacji wyświetlanej na pasku adresowym przeglądarki.
Mobilne Safari podatne na atak

Okazuje się, że przewaga iPhone (iOS) nad Androidem w dziedzinie bezpieczeństwa nie zapewnia zupełnego braku zagrożeń dla użytkowników sprzętu z nadgryzionym jabłkiem. Popularna na tym sprzęcie przeglądarka cierpi na podatność, która umożliwia podmianę URL w pasku adresu Safari przy pomocy JavaScript. Sposób działania jest bardzo prosty — złośliwa strona przy użyciu funkcji setInterval i zmiany podmienia adres na istniejącą domenę z nieistniejącym portem, np. gmail.com:8080.

Safari wyświetla zawartość złośliwej strony, jednocześnie próbując połączyć się z niepoprawnym adresem, który atakujący podstawił w pasku adresu (nieistniejący port nie pozwoli na nawiązanie połączenia i przekierowanie). Na podobny błąd podatna była również przeglądarka Edge, jednak Microsoft stanął na wysokości zadania i załatał dziurę. Apple wciąż pracuje nad łatką, która ujrzy światło dzienne najprawdopodobniej wraz z iOS 12.

Jeżeli używasz Safari, to niestety bez ingerencji ze strony Apple niewiele możesz zrobić, aby się przed tym błędem obronić. Jednym z elementów na jaki powinieneś zwrócić uwagę jest pasek postępu (pod URL) sugerujący, że strona w dalszym ciągu się ładuje. Możesz również sprawdzić, czy do domeny nie został dodany port — wymaga to kliknięcia w pasek adresowy, bo standardowo Safari pokazuje tylko nazwę domeny.

Do czasu usunięcia błędu posiadaczom iPhone zalecamy korzystanie z innych przeglądarek niż Safari.


Czytaj również

Komentarze

Legalniewsieci.pl © 2018

Realizacja strony weboski

e-Gazela Biznesu

Trwa generowanie dokumentu...

REKLAMA

zamknij okno