Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

iPhone verbergt URL van malafide website

Door: Wouter Hoeffnagel | 30 november 2010 15:10

Apple

Kwaadwillende kunnen de URL van een malafide website kunnen verbergen door gebruik te maken van een afbeelding die een bekende en vertrouwde URL toont. Het probleem doet zich voor in Safari, de browser die standaard op de iPhone wordt geleverd. Dit heeft Nitesh Dhanjani, beveiligingsonderzoeker bij beveiligingsbedrijf SANS, gedemonstreerd in een video.

Door het laden van de afbeelding met een adresbalk met een vertrouwde URL wordt de pagina automatisch omlaag gescrolld zodat de echte adresbalk niet meer te zien is. Hierdoor wordt de suggestie gewekt dat de website die wordt bezocht een bekende website is en dus te vertrouwen. Dit terwijl browsers het onmogelijk horen te maken voor websites om de adresbalk te laten verdwijnen. Door gebruik te maken van de afbeeldingen blijkt dit in Safari toch mogelijk.

Tijdens het laden van de malafide website wordt de echte URL zeer kort bovenaan de pagina getoond. Hierna wordt de afbeelding met nagemaakte adresbalk getoond en verdwijnt de echte adresbalk. Deze blijft echter aanwezig en kan bekeken worden door de pagina naar boven te scrollen. Veel gebruikers zullen dit echter niet opmerken, waardoor zij niet in de gaten hebben dat zij op een malafide website zijn beland.

Dhanjani heeft contact opgenomen met Apple en hen gewezen op het probleem. In een reactie heeft Apple de onderzoeker laten weten dat zij zich bewust zijn van het probleem maar nog niet weten hoe en wanneer zij het probleem aan zullen pakken. De onderzoeker zegt dat het probleem zich ook voordat bij sommige apps die webpagina's in-app laden.

In een reactie op de video van Dhanjani laat lezer Dan Hummon weten de fout eveneens te hebben ontdekt. Hummon werkt momenteel aan een proof-of-concept die de fout aantoonbaar moet maken. Op zijn website is daarom meer informatie te vinden over het probleem en wordt een voorbeeld van Javascript-code getoond waarmee de adresbalk op de juiste locatie in de browser wordt geplaatst. De code zorgt ervoor dat de website automatisch naar beneden blijft scrollen, wat het voor de gebruiker lastig maakt om de echte URL te achterhalen.

De URL van een malafide website kan door kwaadwillende worden verborgen

0 Reacties op: iPhone verbergt URL van malafide website

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.