Μια σοβαρή ευπάθεια ασφαλείας έχει εντοπιστεί στον περιηγητή της Apple Safari, η οποία θα μπορούσε να «ξεγελάσει» τον χρήστη να επισκεφτεί ένα κακόβουλο ιστότοπο, ενώ στη γραμμή διεύθυνσης του περιηγητή εμφανίζεται μια πραγματική διεύθυνση.
Ποιοι εντόπισαν την ευπάθεια και πως μπορεί να χρησιμοποιηθεί;
Όπως αναφέρει το cybersecurity, μια ομάδα ερευνητών ασφαλείας, γνωστοί ως Deusen, απέδειξαν ότι κάποιος κακόβουλος χρήστης μπορεί, εκμεταλλευόμενος την ευπάθεια που αναφέρουν, να «ξεγελάσει» τον χρήστη ότι έχει επισκεφτεί την έμπιστη ιστοσελίδα που αυτός επιθυμεί, ενώ στην πραγματικότητα είναι συνδεδεμένος σε μια διαφορετική και φυσικά κακόβουλη ιστοσελίδα!
Με αυτόν τον τρόπο ο κακόβουλος χρήστης μπορεί να εγκαταστήσει κακόβουλο λογισμικό στον υπολογιστή του θύματος και να του υποκλέψει ευαίσθητα προσωπικά δεδομένα, κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών κ.α.
Ακόμη, οι ερευνητές ασφαλείας, για να αποδείξουν τον ισχυρισμό τους, κατασκεύασαν μια ιστοσελίδα (test) στην οποία, ενώ στη γραμμή διευθύνσεων εμφανίζεται η διεύθυνση «dailymail.co.uk», το περιεχόμενό της προέρχεται από τη διεύθυνση «deusen.co.uk».
Οποιοσδήποτε διαθέτει τον περιηγητή Safari μπορεί να το δοκιμάσει πατώντας εδώ. Σκεφτείτε ότι στη θέση της διεύθυνσης «dailymail.co.uk» θα μπορούσε να είναι η διεύθυνση της τράπεζας σας, και αντί για την πραγματική σελίδα να εμφανιζόταν μια ιστοσελίδα Phishing.
Το script με το οποίο επιτυγχάνεται αυτή ευπάθεια έχει την ακόλουθη μορφή:
Σημειώνεται ότι η ίδια ομάδα ερευνητών ασφαλείας είχε εντοπίσει στις αρχές του έτους μια άλλη σοβαρή ευπάθεια τύπου Universal Cross Site Scripting (XSS) στον περιηγητή της Microsoft, τον Internet Explorer, η οποία έθετε σε κίνδυνο ευαίσθητα προσωπικά δεδομένα του χρήστη. Η ευπάθεια επιδιορθώθηκε από την Microsoft στο τελευταίο update του περιηγητή.
Επιμέλεια: Xρήστος Μαζάνης