Немецкая компания MajorSecurity опубликовала описание уязвимости в Apple Mobile Safari и iOS 5.1, с помощью которой злоумышленник может подделать адрес в адресной строке. Степень угрозы оценивается как средняя, эксплойт уже существует.
Проблема вызвана с некорректной обработкой вызова javascript's window.open() в JavaScript. Система позволяет отобразить в адресной строке URL стороннего сайта, так что пользователь будет введён в заблуждение относительно того, где он находится в данный момент. Это незаменимая вещь для фишинга.
Чтобы продемонстрировать уязвимость на практике, специалисты сделали специальную тестовую страничку. Можете зайти на неё браузером Safari из-под iOS 5.1 — и нажать кнопку Demo.
http://majorsecurity.net/html5/ios51-demo.html
После нажатия кнопки Demo браузер Safari откроет новое окно, где в адресной строке указано http://www.apple.com, но на самом деле сайт apple.com открывается во фрейме на хосте majorsecurity.net, то есть фактически пользователь не покинул сайт majorsecurity.net.
Очевидно, что данную уязвимость можно успешно использовать для фишинговых атак. Например, пользователя направляют на фишинговый сайт, который является точной копией «родной» системы онлайн-банкинга (или Gmail, Facebook и т.д.), при этом во фрейме незаметно открывается настоящий сайт — и пользователь видит аутентичный URL в адресной строке браузера. Не подозревая подвоха, он спокойно вводит свои аутентификационные данные, логин и пароль, после чего либо получает ошибку доступа, либо перенаправляется с авторизацией на оригинальный ресурс. Главное, что логин и пароль уже попали к злоумышленникам.
Уязвимость проверена и подтверждена в iOS 5.0.1 и iOS 5.1, её проверили на разных устройствах: iPhone4, iPhone4S, iPad2 и iPad3. Вероятно, уязвимость присутствует также в предыдущих версиях iOS.
Вероятно, патч для iOS будет выпущен в ближайшее время. Описание уязвимости опубликовано 20 марта, так что прошла уже почти неделя.
