Los investigadores han descubierto una vulnerabilidad de suplantación de URL en Safari tanto en iOS como en OS X que permite a los atacantes engañar a los usuarios para que piensen que están visitando sitios web confiables cuando en realidad están visitando una dirección completamente diferente. El hack podría usarse para phishing y para distribuir malware.
Los investigadores han creado un exploit de prueba de concepto que demuestra cómo funciona el ataque. Cuando los usuarios hacen clic en el enlace, la barra de direcciones de Safari les dice que están visitando www.dailymail.co.uk, la dirección de un popular periódico británico. Pero en realidad, están visitando una URL totalmente diferente.
"El código de demostración no es perfecto", explica Ars Technica. “En el iPad Mini Ars probado, la barra de direcciones actualizaba periódicamente la dirección a medida que la página parecía recargarse. El comportamiento podría alertar a los usuarios más inteligentes de que algo anda mal ".
Sin embargo, podría engañar a muchos otros usuarios de Safari para que piensen que están visitando sitios genuinos, y eso tiene serias implicaciones. Los atacantes podrían crear un sitio web disfrazado de PayPal, por ejemplo, y robar su información de inicio de sesión, y luego su dinero.
El exploit no funciona en otros navegadores como Chrome, Firefox e Internet Explorer.
Ars explica que JavaScript se usa para dirigir Safari a una URL, la que se refleja en la barra de direcciones, y luego lo obliga a volver a cargar rápidamente otra URL antes de que se muestre la página original.
Apple estará interesado en abordar una falla como esta, que claramente pone en riesgo a los usuarios de Safari y sus datos. Con suerte, veremos una solución en la próxima actualización de Safari, y no tendremos que esperar demasiado.