Рост количества функций в прошивках для мобильных гаджетов Apple пропорционален росту количества «дыр» в этой системе. Профессионалы из сферы компьютерной безопасности обнаружили в iOS пятой версии маленький, но неприятный баг, потенциально опасный для всех пользователей iPhone и не имеющий отношения к джейлбрейку. Проблема в том, что он существует ещё с осени прошлого года, и до сих пор в Купертино не озаботились исправлением проблемы. Воспроизвести её на своём устройстве может каждый.
Компания Major Security опубликовала простую инструкцию по обману адресной строки Safari в прошивках iOS 5.X. Проблема в очередной раз кроется в скриптах Javascript, благодаря которым можно сфабриковать адрес веб-страницы, показываемый в соответствующем поле браузера.
Это можно использовать для обмана пользователей, которые поделятся важной информацией с вредоносным веб-сайтом. Информация, отображающаяся в поле адреса, может быть построена таким образом, чтобы пользователь поверил, что находится на другом веб-сайте.
Речь идёт о потенциально опасном баге, который может помочь фишинговым сайтам в сборе важных пользовательских данных. За примерами далеко ходить не надо. Откройте этот сайт через свой iPhone, iPod Touch или iPad на прошивке iOS 5, а затем нажмите на кнопку Demo.
Адресная строка отобразит, что вы находитесь на Apple.com. Это не так. На самом деле на экране отображается страница с сервера Major Security. Об этом красноречиво говорит предупреждение в верхней части страницы. Возможности эксплуатации этого бага огромны, как и проблемы, с которыми вскоре могут столкнуться пользователи, привыкшие к исключительно безопасному серфингу через свои iДевайсы. Ждём заплатки от Apple. [ap]
10 комментариев