Apple iOS уязвима к атакам, которые позволяют сайтам выдавать себя за
надежные страницы банков, магазинов и других важных организаций.
Причиной уязвимости является возможность разработчиков сайтов показывать свои
страницы на iPhone таким образом, что адресная строка пропадает из вида.
Исследователь Нитеш Данжани описал проблему в
блоге и показал как с мобильной версии Safari просматривается
страница собственного сайта Данжани, которая выглядит очень похожей на
страницу BankofAmerica.com. При этом на странице даже присутствует и Secure
Sockets Layer, удостоверяющий подлинность сайта.
"Причина уязвимости – дизайн Apple: браузер Safari на iPhone позволяет
прокручивать страницу так, что реальная адресная строка пропадает из виду", -
написал Данжани. "Это позволяет злоумышленным веб-сайтам отображать поддельную
адресную строку (как в моем примере), заставляя верить пользователя в то, что он
находится на подлинном сайте, хотя это не так".
Данжани сказал, что он предупредил Apple об угрозе, но разработчики судя по
всему не собираются в скором времени вносить какие-либо изменения. "Я связался с
Apple по этому поводу и мне дали знать, что они в курсе проблем, но не знают
когда и как они собираются их решать".
В некоторой степени проблема связана с малым разрешением дисплеев смартфонов.
И как результат, адресная строка iPhone может перекрываться всплывающими окнами
или другой графикой. И это создает практически идеальный способ для того, чтобы
злонамеренные сайты скрывали свой истинный адрес. Также клиентам BankofAmerica
становится очень сложно следовать совету банка, рекомендующему более внимательно
проверять адресную строку для удостоверения подлинности сайта.
Проблема, описанная Данжани, затрагивает аппараты, использующие дефолтную
версию браузера Safari, однако исследователь предупредил, что подобные проблемы
могут затронуть и сторонние приложения. Это происходит потому, что большинство
приложений полноэкранные; тем самым разработчики хотят чтобы пользователь был
погружен в их продукт, вместо того чтобы полагаться на Safari для отображения
веб-контента.
"Так как приложения как для iPhone так и для iPad полноэкранные, их
разработчики обычно встраивают в них браузер (например приложение Twitter на
iPhone и iPad)", – пишет Данжани. "Разработчики этих приложений должны приложить
больше усилий для того, чтобы точно отображать адресную строку сайта, который
они используют в своих приложениях (например приложение Twitter на iPad, когда
вы кликаете на ссылку, отображает свой браузер вместо того, чтобы отсылать
пользователя к Safari".
Данжани предупредил об опасности в связи с большим количеством людей,
использующих смартфоны для банковских операций. Такое положение вещей
подсказывает, что это лишь дело времени, пока фишинг-атаки будут адаптированы
под мобильные платформы.