נראית כמו דפדפן הספארי ב- iOS ו- OS X נושא פגיעות מובנית שיכולה לאפשר לתוקפים לנצל אותה למטרות דיוג או הפצת תוכנות זדוניות. הניצול, כפי שהתגלה על ידי החוקרים, מבוסס על זיוף כתובת האתר האינטרנטית כדי לשכנע משתמשים שהם למעשה מבקרים באתרים מהימנים ולגיטימיים. פרטים נוספים על חדשות אלה ניתן למצוא ממש כאן.
כדי להשוויץ כיצד ניצול זה יכול לשמש את התוקפים, החוקרים פיתחו הוכחה לאתר קונספט כדי להדגים כיצד בדיוק ההתקפה יכולה לעבוד אם אנשים לא מכוונים מפתחים חיבה לכך. החוקרים משתמשים ב- Dailymail.co.uk, אתר חדשות בריטי כדי להציב כאתר שאתה מבקר בו, אך במקום זאת, בעוד שהוא מוביל אותך לדף שאומר לך שזה לא דף Dailymail האמיתי, סרגל הכתובות של הספארי מראה את הלגיטימי כתובת כתובת אתר.
באמצעות הוכחת קונספט זו תבחין שכתובת הטריק טוענת במהירות את אתר הדיוג או התוכנה הזדונית לפני שהדפדפן יקבל הזדמנות לטעון את הקישור המיועד בפועל. לדברי ארסטצ’ניקה, שבדק את הקוד הזה, הגיע למסקנה שהוא אינו מושלם לחלוטין, והסביר עוד כי: “ב- iPad Mini ARS שנבדק, סרגל הכתובות רענן מעת לעת את הכתובת כאשר נראה שהדף טוען מחדש. ההתנהגות עשויה להפיל משתמשים יותר מנוסים שמשהו לא בסדר. ”
סביר להניח כי התקלה כביכול בניצול זה לא יבחינו במשתמשים רבים אשר יאמינו שהם מבקרים באתרים מקוריים. התוקפים יכלו להשתמש בניצול כדי להלביש קישורים כאלו המציעים שירותים רגישים – כמו PayPal – כדי לגנוב את המידע האישי שלך וכתוצאה מכך, את הכסף שלך.
נראה כי הפגיעות לניצול זה קיימת רק בספארי, ודפדפנים כמו Chrome, Firefox ו- Internet Explorer ככל הנראה אינם מועדים לכך. אם כי פגיעויות כמו זו נוטות לעלות או לכבות ב- iOS או במערכת ההפעלה X, אך המשתמשים יכולים להיות סמוכים ובטוחים שאפל, עם הרשומה המובטחת שלה, תתיקון את זה בקרוב עם עדכון חדש. פגיעות זו אכן מהווה סיכון נתונים רציני, אך שום דבר שלא ניתן לנהל אותו עם עדכון מהיר עבור ספארי.
אם אתה מאמין שהנתונים שלך אסור להיות בסיכון, אנו ממליצים לך להוריד דפדפן של צד שלישי לפני שאפל תדחוף עדכון.
(דרך: Arstechnica)
אתה יכול לעקוב אחרינו בטוויטר, להוסיף אותנו למעגל שלך ב- Google+ או לאהוב את דף הפייסבוק שלנו כדי לעדכן את עצמך על כל העדכונים ביותר ממיקרוסופט, גוגל, אפל והאינטרנט.