Пакистанский исследователь безопасности Rafay Baloch обнаружил серьезную уязвимость, которая может позволить злоумышленникам подменивать адреса сайтов в веб-браузере Microsoft Edge для Windows и Apple Safari для iOS. Об этом 12 сентября сообщило издание The Hacker News.
В прошлом месяце Microsoft исправила уязвимость, связанную с подменой URL-адресов, в рамках ежемесячных обновлений безопасности, но браузер Safari по-прежнему не исправлен, что потенциально оставляет пользователей Apple уязвимыми для фишинговых атак.
Сегодня фишинг-атаки более изощрённые и их всё труднее обнаружить, а недавно обнаруженная уязвимость переводит их на другой уровень: теперь фишинг-атаки могут обходить основные индикаторы, такие как URL и SSL, на которые пользователь обращает внимание в первую очередь, когда проверяет подлинность сайта.
Rafay Baloch описывает обнаруженную уязвимость (CVE-2018-8383) как “состояние гонки”, которая позволяет JavaScript обновлять адрес в строке URL во время загрузки страницы.
Использование дефекта может потенциально позволить злоумышленнику начать загрузку законной страницы, что приведет к отображению адреса страницы в строке URL-адреса, а затем быстро заменить код на веб-странице вредоносным. Поскольку URL-адрес, отображаемый в адресной строке, не изменится, фишинг-атаку будет трудно определить даже опытному пользователю.
Используя эту уязвимость, злоумышленник может подменять любую веб-страницу, включая Gmail, Facebook, Twitter или даже банковские веб-сайты, а также создавать поддельные экраны входа или другие формы для кражи данных пользователей, которые видят законный домен в адресной строке.
Baloch сказал, браузеры Google Chrome и Mozilla Firefox не затронуты этой уязвимостью.
Microsoft уже исправила проблему в прошлом месяце, однако Baloch еще не получил ответа от Apple, хотя уведомил компанию 2 июня.
Исследователь раскрыл полные технические характеристики уязвимости и код доказательства концепции (PoC) для Edge только после 90-дневного срока раскрытия информации, но он не публикует PoC-код для Safari, пока Apple не исправит проблему в предстоящей версии Safari.