l+f: Adressleiste von Apples Safari leicht manipulierbar

Online-Kriminelle könnten sich ein simples Java-Skript für Apples Safari zunutze machen, um Opfer effizienter auf gefälschte Webseiten zu locken. Dabei erscheint in der Adresszeile des Webbrowser eine ganz andere Adresse, als die, mit der Safari wirklich verbunden ist.

In einem Proof of Concept der Sicherheitsforscher von Deusen kann man das selbst ausprobieren. Das Skript soll mit allen aktuellen Versionen von iOS und OS X funktionieren. Ganz rund läuft das aber noch nicht, denn während eines Tests auf einem iPhone 5 flackerte die Adressleiste.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(des)