اكتشف باحث أمني ثغرة في متصفح سافاري على نظامiOS لآيفون وآيباد، يستطيع المستفيد منها أن يُظهر عنوان موقع ما ضمن شريط العنوان في حين يتم في الحقيقة عرض محتويات موقع آخر ضمن الصفحة، مما قد يساهم في خداع المستخدم لزيارة المواقع التي تستهدف اختراقه أو سرقة معلوماته.
وفقاً لـ David Vieira-Kurz من شركة MajorSecurity فإن نسخة سافاري في كل من أنظمة iOS 5.0 و5.0.1 و5.1 لديها ثغرة في طريقة التعامل مع أحد إجرائيات الجافاسكربت.ويمكن الاستفادة من هذه الثغرة لجر المستخدم إلى الإدلاء بمعلومات حساسة للمواقع المؤذية، حيث يمكن أن يتم التلاعب بالمعلومات الظاهرة في شريط العنوان بطريقة محددة، من شأنها أن تجعل المستخدم يعتقد بأنه يقوم بزيارة موقع آخر مختلف عن الموقع المعروض فعلياً.
وقام Vieira-Kurz لإثبات ذلك باستعراض كيف قام بفتح نافذة جديدة بالضغط على رابط مُعد خصيصاً، وتبدو تلك النافذة وكأنها تعرض موقع آبل apple.com، لكنها في الحقيقة تقوم بعرض إطار iframe ضمن موقع شركة MajorSecurity. المثال الذي قام بإعداده لا يسبب أي أذى، لكن يمكن استخدام نفس التقنية بسهولة لجر المستخدم إلى إدخال معلومات حسابه لدى آبل AppleID بما في ذلك معلومات بطاقة الائتمان والتي ستذهب فعلياً إلى المخترق.
حتى الآن لم تصدر آبل تحديثاً يحل المشكلة، وحتى ذلك الحين، يتوجب على المستخدمين توخي المزيد من الحذر وعدم فتح روابط من مواقع لا يثقون بها.
ليست هناك تعليقات:
إرسال تعليق