Abo
  • Services:

Safari: URL-Spoofing per Javascript

In Apples Browser Safari lässt sich mit wenig Javascript eine andere URL anzeigen als die tatsächlich angesurfte. So könnten Benutzer unwissentlich auf eine Webseite mit Malware umgeleitet werden.

Artikel veröffentlicht am ,
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen.
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen. (Bild: Deusen)

Mit ein paar Zeilen Javascript können Anwender von Apples Browser Safari getäuscht werden: In der URL-Zeile könnte eine vertrauenswürdige Webseite angezeigt werden, während eigentlich eine nachgebildete Seite mit Malware oder einem Login geladen wird.

  • Unter Safari wird mit dem Javascript in der URL-Zeile eine vertrauenswürdige Webadresse angezeigt, die sichtbare Webseite muss es aber nicht sein. (Screenshot: Golem.de)
  • Unter Firefox funktioniert dieser Trick nicht.  (Screenshot: Golem.de)
Unter Safari wird mit dem Javascript in der URL-Zeile eine vertrauenswürdige Webadresse angezeigt, die sichtbare Webseite muss es aber nicht sein. (Screenshot: Golem.de)
Stellenmarkt
  1. swb AG, Bremen
  2. Sky Deutschland GmbH, Unterföhring bei München


Der Machbarkeitsnachweis ist auf der speziell dafür eingerichteten Webseite Deusen.co.uk zu sehen. Mit einem Klick auf OK wird eine weitere Webseite geladen, deren URL auf die Webseite der Publikation Daily Mail weist. Zu sehen ist allerdings nur eine Mitteilung, dass es sich nicht um den Webauftritt der Publikation handelt.

Das Spoofing erledigt nur wenige Zeilen Javascript:

function f()
{
location="http://www.dailymail.co.uk/home/index.html?random="+Math.random();
}
setInterval("f()",10);

Auf die legitime Webseite sollte eigentlich über Location weitergeleitet werden. Die Funktion Math.random() verhindert jedoch das Laden der legitimen Webseite, weil Safari stattdessen die entsprechenden kryptografischen Berechnungen weiterleitet und so das Laden dessen Inhalts verhindert. Die aktuelle URL-Zeile wird über setInterval alle 10 Millisekunden aufgefrischt. Streng genommen, handelt es sich dabei auch um einen DDoS-Angriff auf die vertrauenswürdige Webseite.

Getestet haben wir die Spoofing-Seite unter der aktuellen Version 8.0.6 von Safari auf einem Macbook Air und einem Macbook Pro. Nach einer Weile brach das Skript jedoch ab und leitete auf Daliy Mail weiter. Auf einem iPad mit iOS 8.3 funktionierte das Spoofing ebenfalls, allerdings flackert die Anzeige in der URL-Zeile deutlich, was ebenfalls auf ein Problem hinweisen könnte. In den Einstellungen in Safari lässt sich unter "Erweitert", die Option "Vollständige Webadresse anzeigen" aktivieren. Dann zeigt der Browser in der URL-Zeile die Ergebnisse der Funktion MathRandom an.

In Googles Chrome und Mozillas Firefox funktioniert der Code unter Mac OS X nicht.



Anzeige
Spiele-Angebote
  1. (-20%) 47,99€
  2. 50,99€ mit Vorbesteller-Preisgarantie
  3. 14,99€ + 1,99€ Versand oder Abholung im Markt

Ext3h 20. Mai 2015

Stimmt inhaltlich übrigens immer noch nicht. Der Fehler ist schlichtweg, dass Safari die...

Ext3h 20. Mai 2015

Der Safari ist etwas "übereifrig" mit dem Aktualisieren der Adresszeile. Die anderen...

NeoTiger 20. Mai 2015

Hallo golem.de, Hättet ihr im Code nicht eine Fake-Addresse verwenden können? Hier sind...

grain 20. Mai 2015

nope, history.pushState() bzw. history.replaceState geht nur wenn die URL auf die gleiche...

limasign 19. Mai 2015

Also bei mir läufts auch ne Minute lang. Wie lang ist genau "eine Weile"?


Folgen Sie uns
       


Bethesda E3 2018 Pressekonferenz -Live

Fallout 76 wird Multiplayer bieten, Starfield und Elder Scrolls 6 werden angekündigt und Bethesda bringt mit Rage 2 und Doom Eternal jede Menge Action: Konnte uns das im nächtlichen Stream begeistern?

Bethesda E3 2018 Pressekonferenz -Live Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /