HomeBlogsMEJIbxuop's blog

Обнаружена новая уязвимость iOS

Submitted by MEJIbxuop on Tue, 11/30/2010 - 21:04
Уязвимость

Выявлена новая уязвимость Apple iOS к кибератакам, которые позволяют потенциально опасным сайтам выдавать себя за надежные страницы банков, магазинов и других важных организаций. Основной причиной уязвимости является возможность разработчиков сайтов показывать свои страницы на iPhone таким образом, что адресная строка пропадает из виду. Исследователь Нитеш Данжани описал проблему в своём блоге и показал, как с мобильной версии Safari просматривается страница собственного сайта, которая выглядит очень похожей на страницу BankofAmerica.com. При этом на странице даже присутствует и Secure Sockets Layer (криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером), удостоверяющий подлинность сайта.

"Причина уязвимости – дизайн Apple: браузер Safari на iPhone позволяет прокручивать страницу так, что реальная адресная строка пропадает из виду", - написал Данжани. "Это позволяет злоумышленным веб-сайтам отображать поддельную адресную строку (как в моем примере), заставляя верить пользователя в то, что он находится на подлинном сайте, хотя это не так". Проблема, описанная Данжани, затрагивает аппараты, использующие «дефолтную» версию браузера Safari, однако исследователь предупредил, что подобные проблемы могут затронуть и сторонние приложения. Это происходит потому, что большинство приложений полноэкранные, тем самым разработчики хотят чтобы пользователь был погружен в их продукт, вместо того чтобы полагаться на Safari для отображения веб-контента. "Так как приложения как для iPhone так и для iPad полноэкранные, их разработчики обычно встраивают в них браузер (например приложение Twitter на iPhone и iPad)", – пишет Данжани. "Разработчики этих приложений должны приложить больше усилий для того, чтобы точно отображать адресную строку сайта, который они используют в своих приложениях".

Уязвимость iOS

Стоит отметить, что в некоторой степени проблема связана и с малым разрешением дисплеев самих смартфонов. Как результат, адресная строка может перекрываться всплывающими окнами или другой графикой, что в свою очередь создает практически идеальный способ для того, чтобы злонамеренные сайты скрывали свой истинный адрес. Также из-за подобных проблем клиентам BankofAmerica становится очень сложно следовать совету банка, рекомендующему более внимательно проверять адресную строку для удостоверения подлинности сайта.

Tags: