शोधकर्ताओं ने सफारी में आईओएस और ओएस एक्स दोनों पर एक यूआरएल-स्पूफिंग शोषण की खोज की है जो हमलावरों को उपयोगकर्ताओं को यह सोचकर धोखा देने की अनुमति देता है कि वे विश्वसनीय वेबसाइटों पर जा रहे हैं जब वास्तविक तथ्य में वे पूरी तरह से अलग पते पर जा रहे हैं। हैक का उपयोग फ़िशिंग के लिए और मैलवेयर वितरित करने के लिए किया जा सकता है।
शोधकर्ताओं ने एक प्रूफ-ऑफ-कॉन्सेप्ट कारनामे का निर्माण किया है जो दर्शाता है कि हमला कैसे काम करता है। जब उपयोगकर्ता लिंक पर क्लिक करते हैं, तो सफारी का पता बार उन्हें बताता है कि वे www.dailymail.co.uk पर जा रहे हैं - एक लोकप्रिय ब्रिटिश समाचार पत्र का पता। लेकिन वास्तव में, वे पूरी तरह से अलग URL पर जा रहे हैं।
Ars Technica बताते हैं, "डेमो कोड सही नहीं है । " “आईपैड मिनी आर्स पर परीक्षण किया गया, पता बार ने समय-समय पर पते को ताज़ा कर दिया क्योंकि पेज फिर से लोड हो गया। व्यवहार अधिक समझदार उपयोगकर्ताओं को टिप दे सकता है कि कुछ एमिस है। "
फिर भी, यह बहुत से अन्य सफारी उपयोगकर्ताओं को यह सोचकर मूर्ख बना सकता है कि वे वास्तविक साइटों पर जा रहे हैं, और इसके गंभीर निहितार्थ हैं। उदाहरण के लिए, हमलावर पेपैल के रूप में तैयार एक वेबसाइट बना सकते हैं, और आपकी लॉगिन जानकारी चुरा सकते हैं - और फिर आपके पैसे।
क्रोम, फ़ायरफ़ॉक्स और इंटरनेट एक्सप्लोरर जैसे अन्य ब्राउज़रों में शोषण काम नहीं करता है।
Ars बताते हैं कि Safari का उपयोग एक URL तक ले जाने के लिए किया जाता है - जो पता बार में परिलक्षित होता है - फिर मूल पृष्ठ प्रदर्शित होने से पहले इसे जल्दी से किसी अन्य URL को पुनः लोड करने के लिए मजबूर करता है।
ऐप्पल इस तरह एक दोष को संबोधित करने के लिए उत्सुक होगा, जो स्पष्ट रूप से सफारी उपयोगकर्ताओं और उनके डेटा को खतरे में डालता है। उम्मीद है, हम अगले सफारी अपडेट में एक सुधार देखेंगे, और हमें इसके लिए बहुत लंबा इंतजार नहीं करना पड़ेगा।