Safari lässt sich austricksen: Webseiten können angezeigte Adresse ändern

Eine seit Juni bekannte Schwachstelle ermöglicht es offenbar, die Adresszeile in Apples Safari-Browser zu modifizieren. Bösartigen Webseiten könnten auf diese Weise die im Browser angezeigte Webseitenadresse ändern um sich besser zu tarnen.

Der Sicherheitsforscher Rafay Baloch beschreibt die Vorgehensweise in seinem Blog und teilt mit, dass er Apple und Microsoft bereits Anfang Juni über das Problem informiert hat. Neben Apples Safari war offenbar auch der Microsoft-Browser Edge betroffen. Am 11. August hat Baloch die Unternehmen in einer erneuten Mitteilung darauf hingewiesen, dass er die Hintergrundinformationen zur Schwachstelle branchenüblich nach 90 Tagen veröffentlicht. Microsoft hat den Fehler daraufhin drei Tage später behoben, bei Apple bestehe das Problem dagegen weiterhin, soll aber mit einem kommenden Safari-Update behoben werden.

Im unten eingebetteten Video wird die Sicherheitslücke demonstriert. Konkret wird durch das Einblenden einer in die Webseite integrierten Tastatur eine Sicherheitsfunktion umgangen, die Safari-Nutzer davon abhalten soll, Inhalte auf Webseiten einzugeben, solange diese noch laden. Auf diese Weise können die Programmierer den Ladezustand der Seite hinauszögern und eine gefälschte Adresse anzeigen, während der Nutzer bereits Daten angibt. Ein mögliches Angriffsszenario wären gefälschte Bank- oder sonstige Account-Seiten, mit deren Hilfe Hacker Anmeldedaten und sonstige Informationen abgreifen. Der Blick auf die Adresszeile für viele Nutzern ein gewohnter Prüfmechanismus beim Besuch von Webseiten, die die Eingabe sensibler Daten erfordern.

Der Hinweis, Apple werden den Fehler mit einem kommenden Update beheben lässt annehmen, dass eine entsprechende Aktualisierung unabhängig von iOS 12 kurz bevorsteht.