연구원들은 iOS와 OS X의 Safari에서 URL 스푸핑 악용을 발견하여 공격자가 실제로 완전히 다른 주소를 방문 할 때 신뢰할 수있는 웹 사이트를 방문한다고 사용자를 속일 수 있습니다. 이 해킹은 피싱 및 악성 코드 배포에 사용될 수 있습니다.
연구원들은 공격의 작동 방식을 보여주는 개념 증명 익스플로잇을 만들었습니다. 사용자가 링크를 클릭하면 Safari의 주소 표시 줄에 인기 영국 신문의 주소 인 www.dailymail.co.uk를 방문하고 있음이 표시됩니다. 그러나 실제로는 완전히 다른 URL을 방문하고 있습니다.
Ars Technica 는“데모 코드는 완벽하지 않습니다 . “테스트 된 iPad Mini Ars에서 페이지가 다시로드되는 것처럼 주소 표시 줄이 주기적으로 주소를 새로 고쳤습니다. 이 행동은 더 정통한 사용자에게 무언가가 잘못되었다는 것을 알려줄 수 있습니다.”
그럼에도 불구하고 많은 사파리 사용자들이 자신들이 진짜 사이트를 방문하고 있다고 생각하도록 속일 수 있으며 이는 심각한 영향을 미칩니다. 공격자는 예를 들어 PayPal로 차려 입은 웹 사이트를 만들고 로그인 정보와 돈을 훔칠 수 있습니다.
이 익스플로잇은 Chrome, Firefox 및 Internet Explorer와 같은 다른 브라우저에서는 작동하지 않습니다.
Ars 는 JavaScript를 사용하여 Safari를 주소 표시 줄에 반영된 하나의 URL로 이끈 다음 원래 페이지가 표시되기 전에 다른 URL을 빠르게 다시로드해야한다고 설명합니다.
애플은 이와 같은 결함을 해결하려고 애쓰며, 이는 사파리 사용자와 그들의 데이터를 분명히 위험에 빠뜨린다. 바라건대, 다음 Safari 업데이트에서 수정 사항을 볼 수 있으므로 오래 기다릴 필요가 없습니다.