Un bug di Apple Safari permette di visualizzare URL arbitrari nella barra degli indirizzi

Un ricercatore indipendente ha scoperto una vulnerabilità nel browser di Apple, Safari, che consente a un aggressore di controllare l’URL mostrato nella barra degli indirizzi. Il problema deriva dal fatto che Safari permette a codice JavaScript di intervenire sul contenuto della barra degli indirizzi prima ancora che il caricamento della pagina web venga completato.

I criminali informatici hanno così un nuovo strumento in dotazione per sferrare attacchi phishing ancora più efficaci traendo in errore una buona fetta degli utenti.

Il problema era stato privatamente segnalato ad Apple e Microsoft da Rafay Baloch, questo il nome del ricercatore autore della scoperta, ma mentre la società di Redmond ha risolto l’analogo bug di Edge rilasciando una patch ufficiale lo scorso 14 agosto, la Mela sta invece tardando a distribuire un aggiornamento correttivo.

La falla di sicurezza, classificata con l’identificativo CVE-2018-8383, di fatto permette agli aggressori che intendano bersagliare gli utenti di Safari di “impersonificare” qualunque sito web.

Nell’immagine la pagina di login sembra soltanto all’apparenza essere quella ufficiale di Google. In realtà si tratta di una pagina ospitata su server di terze parti; si noti l’indicazione fasulla google.com nella barra degli indirizzi di Safari.

Va detto che finché la pagina web è in caricamento, l’utente non può inserire le credenziali nel form: il problema, come spiega Baloch, può essere superato mostrando una tastiera virtuale altrettanto fasulla.