Safari: URL-Spoofing via Javascript

Was tun Sie normalerweise um sicherzustellen, dass der Link auf den Sie klicken auch wirklich “echt” ist und sie nicht auf eine gefälschte Seite weiterleitet? Wahrscheinlich das, was auch so ziemlich jeder andere tut: Schnell mal auf den Link klicken, in der Adressleiste des Browsers nachsehen, ob man auch dort landet wo man landen will und dann entspannt weitersurfen.

Generell ist das nicht unbedingt verkehrt, allerdings könnte das für Safari-Nutzer auf dem iPhone zurzeit böse enden. Nun wurde festgestellt, dass es in Apples Webbrowser eine Lücke gibt, die es Angreifern erlaubt festzulegen, was in der Adressleiste angezeigt wird.

Ist die URL echt oder ist sie ein Fake?

Sicherheitsforscher Raday Baloch hat herausgefunden, wie man im Safari for iOS die Webadressen in der Adressleiste überschreiben kann. Das ganze nennt sich „URL-Spoofing“ und funktioniert in diesem Fall folgendermaßen: Ein Nutzer wird dazu verführt, auf einen bösartigen Link zu klicken. Die Vergangenheit hat gezeigt, dass das über verschiedene Social Engineering-Techniken oft sehr gut funktioniert. Auf der Seite, auf die man geführt wird, wird nun die echte Page mit einem falschen Port und in Kombination mit einer Javascript-Funktion aufgerufen. Das führt letzten Endes dazu, dass zwar die richtige URL eingeblendet wird, die Seite auf der man gelandet ist aber eine Fälschung ist.

Möglich macht das die Tatsache, dass einige Browser – in diesem Fall Safari und Edge – Javascript die Erlaubnis geben, die Adressleiste zu aktualisieren während eine Webseite noch im Ladevorgang hängt. Im Video unten können Sie sehen, wie leicht man auf diese Masche hereinfallen könnte:

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

Problem im Safari noch nicht behoben

Während auch Edge von dem Exploit betroffen war, handelte Microsoft schnell und veröffentlichte am 14. August einen Patch, der die Sicherheitslücke schließt.  Wer sein Betriebssystem samt Programmen also regelmäßig aktualisiert, ist auf der sicheren Seite. Bei Apple hingegen müssen sich die Nutzer noch ein wenig gedulden – hier kommt der Patch erst mit dem nächsten Sicherheitsupdate. Für Safari-Nutzer heißt das, dass sie besonders aufmerksam im Netz unterwegs sein sollten: Geben Sie für Seiten, auf denen Sie sich anmelden müssen (zum Beispiel Gmail oder Ihre Bank) die URL am besten per Hand ein. So kann Ihnen nichts passieren.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.