Le ultime versioni di Safari per Mac OS X ed iOS, sono vulnerabili ad un URL Spoofing Exploit, che potrebbe consentire agli hacker di lanciare attacchi di phishing.
Il problema è stato scoperto dal ricercatore di sicurezza David Leo, che ha pubblicato un concept dell’exploit, per mostrarne il funzionamento. La dimostrazione di Leo è costituita da una pagina Web ospitata sul suo dominio che, una volta aperto in Safari, fa sì che il browser visualizzi dailymail.co.uk nella barra degli indirizzi.
La capacità di controllare l’URL visualizzato dal browser, ad esempio,può essere utilizzata per convincere facilmente gli utenti di trovarsi sul sito web della propria banca, quando in realtà sono su una pagina di phishing progettatiaper rubare le loro informazioni finanziarie, quindi i loro conti e tutti i loro soldi.
Il concept di Leo non è ovviamente perfetto, dato che sarebbe come svelare al ladro come rubare in casa propria. Praticamente, quando vengono aperti su Safari in iOS determinati URL, l’URL spoofing lampeggia e talvolta l’utente può vedere brevemente l’URL reale.
Questo perché il codice di attacco è progettato per reindirizzare il browser l’URL spoofing, ma prima di caricare il suo reale contenuto, il codice ricarica la pagina corrente. Questo accade molto velocemente, ovvero ogni 10 millisecondi, come fosse un effetto di sfarfallio.
Invece, su Safari per Mac OS X lo sfarfallio è molto meno evidente, quindi è difficile capire se c’è che qualcosa non va o meno in quella pagina web.
L’exploit è stato testato con successo su un MacBook Pro con OS X 10.10.3 e Safari 8.0.6, così come su un iPhone 5S con iOS 8.3.
Siamo tutti in pericolo e non ne sapevamo nulla!
[via]