Original-URL des Artikels: https://www.golem.de/news/safari-url-spoofing-per-javascript-1505-114144.html    Veröffentlicht: 19.05.2015 16:56    Kurz-URL: https://glm.io/114144

Safari

URL-Spoofing per Javascript

In Apples Browser Safari lässt sich mit wenig Javascript eine andere URL anzeigen als die tatsächlich angesurfte. So könnten Benutzer unwissentlich auf eine Webseite mit Malware umgeleitet werden.

Mit ein paar Zeilen Javascript können Anwender von Apples Browser Safari getäuscht werden: In der URL-Zeile könnte eine vertrauenswürdige Webseite angezeigt werden, während eigentlich eine nachgebildete Seite mit Malware oder einem Login geladen wird.




Der Machbarkeitsnachweis ist auf der speziell dafür eingerichteten Webseite Deusen.co.uk zu sehen. Mit einem Klick auf OK wird eine weitere Webseite geladen, deren URL auf die Webseite der Publikation Daily Mail weist. Zu sehen ist allerdings nur eine Mitteilung, dass es sich nicht um den Webauftritt der Publikation handelt.

Das Spoofing erledigt nur wenige Zeilen Javascript:

function f()
{
location="http://www.dailymail.co.uk/home/index.html?random="+Math.random();
}
setInterval("f()",10);

Auf die legitime Webseite sollte eigentlich über Location weitergeleitet werden. Die Funktion Math.random() verhindert jedoch das Laden der legitimen Webseite, weil Safari stattdessen die entsprechenden kryptografischen Berechnungen weiterleitet und so das Laden dessen Inhalts verhindert. Die aktuelle URL-Zeile wird über setInterval alle 10 Millisekunden aufgefrischt. Streng genommen, handelt es sich dabei auch um einen DDoS-Angriff auf die vertrauenswürdige Webseite.

Getestet haben wir die Spoofing-Seite unter der aktuellen Version 8.0.6 von Safari auf einem Macbook Air und einem Macbook Pro. Nach einer Weile brach das Skript jedoch ab und leitete auf Daliy Mail weiter. Auf einem iPad mit iOS 8.3 funktionierte das Spoofing ebenfalls, allerdings flackert die Anzeige in der URL-Zeile deutlich, was ebenfalls auf ein Problem hinweisen könnte. In den Einstellungen in Safari lässt sich unter "Erweitert", die Option "Vollständige Webadresse anzeigen" aktivieren. Dann zeigt der Browser in der URL-Zeile die Ergebnisse der Funktion MathRandom an.

In Googles Chrome und Mozillas Firefox funktioniert der Code unter Mac OS X nicht.  (jt)


Verwandte Artikel:
HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben   
(29.10.2017, https://glm.io/130871 )
Windows Hello: Notebooks lassen sich mit A4-Gesichtsausdruck entsperren   
(19.12.2017, https://glm.io/131749 )
Apple-Betriebssystem: MacOS High Sierra bringt neues Dateisystem und Videocodec   
(05.06.2017, https://glm.io/128211 )
Ransomware: Scammer erpressen Besucher von Pornoseiten   
(28.03.2017, https://glm.io/126982 )
Wechsel zu VP9: Youtube spielt keine 4K-Videos in Safari ab   
(18.01.2017, https://glm.io/125640 )

© 1997–2020 Golem.de, https://www.golem.de/