Safari е уязвим към фишинг атака с манипулиране на адреса на сайта

Браузърът Safari има уязвимост, която позволява зареждането на фишинг сайт, докато в същото време в адрес бара се показва напълно легитимен интернет адрес. Уязвимостта е илюстрирана от Рафай Балох, експерт по киберсигурност, в това видео.

Какво се случва в клипчето? Потребителят започва да зарежда фишинг сайт. Но докато сайтът се зарежда, на адрес бара на браузъра се вижда, че се зарежда съвсем друг адрес: в случая на измислената банка XYZ.

Теоретично това може да доведе до следната атака: някой изпраща линк с фишинг сайт и потребителят отваря линка. Докато го отваря, той вижда, че отваря легитимен адрес: например логин страница за онлайн банкиране.

Атаката е възможна както на Safari, така и на браузъра Edge. От Microsoft обаче вече са пачнали тази уязвимост в Edge, докато при Safari това се очаква да се случи през април 2019 г. – или поне така твърди Рафай Балох.

При Chrome и Firefox атаката не действа (пробвах).

Дали подобна атака представлява реална опасност може да се поспори. От една страна тя изглежда доста убедително: можете да видите и другото видео, публикувано от Балох. От друга страна обаче фалшивият интернет адрес остава в адрес бара само за определено време – докато фишинг сайтът се зареди. Ако дотогава потребителят не е въвел данните си за достъп, той ще види, че адресът се променя и всъщност не отваря истински портал.

Оставете коментар

Коментарите в този блог са публични. Ако не желаете истинското ви име да бъде публикувано, използвайте псевдоним.