iPhone verbergt URL van malafide website

Kwaadwillende kunnen de URL van een malafide website kunnen verbergen door gebruik te maken van een afbeelding die een bekende en vertrouwde URL toont. Het probleem doet zich voor in Safari, de browser die standaard op de iPhone wordt geleverd. Dit heeft href="http://www.dhanjani.com/" target="_blank">Nitesh Dhanjani</a>, beveiligingsonderzoeker bij beveiligingsbedrijf <a href="http://sans.org/" target="_blank">SANS</a>, gedemonstreerd in een <a href="http://blogs.sans.org/appsecstreetfighter/2010/11/29/ui-spoofing-safari-iphone/" target="_blank">video</a>.

Door het laden van de afbeelding met een adresbalk met een vertrouwde URL wordt de pagina automatisch omlaag gescrolld zodat de echte adresbalk niet meer te zien is. Hierdoor wordt de suggestie gewekt dat de website die wordt bezocht een bekende website is en dus te vertrouwen. Dit terwijl browsers het onmogelijk horen te maken voor websites om de adresbalk te laten verdwijnen. Door gebruik te maken van de afbeeldingen blijkt dit in Safari toch mogelijk.

Tijdens het laden van de malafide website wordt de echte URL zeer kort bovenaan de pagina getoond. Hierna wordt de afbeelding met nagemaakte adresbalk getoond en verdwijnt de echte adresbalk. Deze blijft echter aanwezig en kan bekeken worden door de pagina naar boven te scrollen. Veel gebruikers zullen dit echter niet opmerken, waardoor zij niet in de gaten hebben dat zij op een malafide website zijn beland.

Dhanjani heeft contact opgenomen met Apple en hen gewezen op het probleem. In een reactie heeft Apple de onderzoeker laten weten dat zij zich bewust zijn van het probleem maar nog niet weten hoe en wanneer zij het probleem aan zullen pakken. De onderzoeker zegt dat het probleem zich ook voordat bij sommige apps die webpagina's in-app laden.

In een reactie op de video van Dhanjani laat lezer Dan Hummon weten de fout eveneens te hebben ontdekt. Hummon werkt momenteel aan een proof-of-concept die de fout aantoonbaar moet maken. Op zijn website is daarom meer informatie te vinden over het probleem en wordt een voorbeeld van Javascript-code getoond waarmee de adresbalk op de juiste locatie in de browser wordt geplaatst. De code zorgt ervoor dat de website automatisch naar beneden blijft scrollen, wat het voor de gebruiker lastig maakt om de echte URL te achterhalen.

De URL van een malafide website kan door kwaadwillende worden verborgen

Deel dit artikel
Voeg toe aan favorieten