Abo
  • Services:
Anzeige
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen.
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen. (Bild: Deusen)

Safari: URL-Spoofing per Javascript

Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen.
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen. (Bild: Deusen)

In Apples Browser Safari lässt sich mit wenig Javascript eine andere URL anzeigen als die tatsächlich angesurfte. So könnten Benutzer unwissentlich auf eine Webseite mit Malware umgeleitet werden.

Anzeige

Mit ein paar Zeilen Javascript können Anwender von Apples Browser Safari getäuscht werden: In der URL-Zeile könnte eine vertrauenswürdige Webseite angezeigt werden, während eigentlich eine nachgebildete Seite mit Malware oder einem Login geladen wird.

  • Unter Safari wird mit dem Javascript in der URL-Zeile eine vertrauenswürdige Webadresse angezeigt, die sichtbare Webseite muss es aber nicht sein. (Screenshot: Golem.de)
  • Unter Firefox funktioniert dieser Trick nicht.  (Screenshot: Golem.de)
Unter Safari wird mit dem Javascript in der URL-Zeile eine vertrauenswürdige Webadresse angezeigt, die sichtbare Webseite muss es aber nicht sein. (Screenshot: Golem.de)


Der Machbarkeitsnachweis ist auf der speziell dafür eingerichteten Webseite Deusen.co.uk zu sehen. Mit einem Klick auf OK wird eine weitere Webseite geladen, deren URL auf die Webseite der Publikation Daily Mail weist. Zu sehen ist allerdings nur eine Mitteilung, dass es sich nicht um den Webauftritt der Publikation handelt.

Das Spoofing erledigt nur wenige Zeilen Javascript:

function f()
{
location="http://www.dailymail.co.uk/home/index.html?random="+Math.random();
}
setInterval("f()",10);

Auf die legitime Webseite sollte eigentlich über Location weitergeleitet werden. Die Funktion Math.random() verhindert jedoch das Laden der legitimen Webseite, weil Safari stattdessen die entsprechenden kryptografischen Berechnungen weiterleitet und so das Laden dessen Inhalts verhindert. Die aktuelle URL-Zeile wird über setInterval alle 10 Millisekunden aufgefrischt. Streng genommen, handelt es sich dabei auch um einen DDoS-Angriff auf die vertrauenswürdige Webseite.

Getestet haben wir die Spoofing-Seite unter der aktuellen Version 8.0.6 von Safari auf einem Macbook Air und einem Macbook Pro. Nach einer Weile brach das Skript jedoch ab und leitete auf Daliy Mail weiter. Auf einem iPad mit iOS 8.3 funktionierte das Spoofing ebenfalls, allerdings flackert die Anzeige in der URL-Zeile deutlich, was ebenfalls auf ein Problem hinweisen könnte. In den Einstellungen in Safari lässt sich unter "Erweitert", die Option "Vollständige Webadresse anzeigen" aktivieren. Dann zeigt der Browser in der URL-Zeile die Ergebnisse der Funktion MathRandom an.

In Googles Chrome und Mozillas Firefox funktioniert der Code unter Mac OS X nicht.


eye home zur Startseite
Ext3h 20. Mai 2015

Stimmt inhaltlich übrigens immer noch nicht. Der Fehler ist schlichtweg, dass Safari die...

Ext3h 20. Mai 2015

Der Safari ist etwas "übereifrig" mit dem Aktualisieren der Adresszeile. Die anderen...

NeoTiger 20. Mai 2015

Hallo golem.de, Hättet ihr im Code nicht eine Fake-Addresse verwenden können? Hier sind...

grain 20. Mai 2015

nope, history.pushState() bzw. history.replaceState geht nur wenn die URL auf die gleiche...

limasign 19. Mai 2015

Also bei mir läufts auch ne Minute lang. Wie lang ist genau "eine Weile"?



Anzeige

Stellenmarkt
  1. Hella Gutmann Solutions GmbH, Ihringen
  2. FRAUNHOFER-INFORMATIONSZENTRUM RAUM UND BAU IRB, Stuttgart
  3. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  4. DIgSILENT GmbH, Gomaringen


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 109,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  2. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  3. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  4. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  5. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  6. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch

  7. Streaming

    Facebooks TV-Shows sollen im August starten

  8. Geldwäsche

    Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen

  9. HTC

    Das Vive Standalone erscheint in China

  10. New Nintendo 2DS XL im Test

    Schwaches Hardware-Finale



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic
  3. Zenscreen MB16AC Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

  1. Re: 200$ klingt gut....

    Cyber1999 | 16:34

  2. Re: Noch mehr Müll zum ansehen

    azeu | 16:33

  3. Re: Smartphone aus der Hand geben

    h4z4rd | 16:33

  4. Re: deutsche Version mal wieder geschnitten

    Veo | 16:29

  5. Re: Überrascht...

    honna1612 | 16:29


  1. 16:27

  2. 15:00

  3. 15:00

  4. 14:45

  5. 14:31

  6. 14:10

  7. 13:36

  8. 13:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel