Các nhà nghiên cứu đã phát hiện ra một khai thác giả mạo URL trong Safari trên cả iOS và OS X, cho phép kẻ tấn công lừa người dùng nghĩ rằng họ đang truy cập các trang web đáng tin cậy khi thực tế họ đang truy cập một địa chỉ hoàn toàn khác. Bản hack có thể được sử dụng để lừa đảo và phân phối phần mềm độc hại.
Các nhà nghiên cứu đã tạo ra một khai thác bằng chứng khái niệm chứng minh cách thức hoạt động của cuộc tấn công. Khi người dùng nhấp vào liên kết, thanh địa chỉ của Safari cho họ biết họ đang truy cập www.dailymail.co.uk - địa chỉ của một tờ báo nổi tiếng của Anh. Nhưng trên thực tế, họ đang truy cập một URL hoàn toàn khác.
Mã giới thiệu không hoàn hảo, CHUYÊN Giải thích Ars Technica. Đã thử nghiệm trên iPad Mini Ars, thanh địa chỉ định kỳ làm mới địa chỉ khi trang xuất hiện để tải lại. Hành vi có thể khiến người dùng hiểu biết nhiều hơn rằng có gì đó không ổn.
Tuy nhiên, nó có thể đánh lừa nhiều người dùng Safari khác nghĩ rằng họ đang truy cập các trang web chính hãng và điều đó có ý nghĩa nghiêm trọng. Những kẻ tấn công có thể tạo ra một trang web ăn mặc như PayPal, ví dụ, và đánh cắp thông tin đăng nhập của bạn - và sau đó là tiền của bạn.
Khai thác không hoạt động trong các trình duyệt khác như Chrome, Firefox và Internet Explorer.
Ars giải thích rằng JavaScript được sử dụng để dẫn Safari đến một URL - một URL được phản ánh trên thanh địa chỉ - sau đó buộc nó phải nhanh chóng tải lại một URL khác trước khi trang gốc được hiển thị.
Apple sẽ sẵn sàng giải quyết một lỗ hổng như thế này, điều này rõ ràng khiến người dùng Safari và dữ liệu của họ gặp rủi ro. Hy vọng, chúng ta sẽ thấy một bản sửa lỗi trong bản cập nhật Safari tiếp theo và chúng ta sẽ không phải chờ quá lâu cho nó.