Mac OS X および iOS 向けの Safari の最新バージョンは、URL スプーフィングの脆弱性があり、ハッカーが信頼性の高いフィッシング攻撃を仕掛けられる可能性があります。
この問題はセキュリティ研究者のDavid Leo氏によって発見され、概念実証用のエクスプロイトを公開しました。Leo氏のデモでは、自身のドメインでホストされているWebページをSafariで開くと、ブラウザのアドレスバーにdailymail.co.ukが表示されます。
たとえば、ブラウザに表示される URL を制御する機能を使用すると、実際には金融情報を盗むためのフィッシング ページにいるユーザーを、銀行の Web サイトにいると簡単に信じ込ませることができます。
Leoの概念実証は完璧ではなく、動作に多少のばらつきがあります。iOSのSafariで開くと、偽装されたURLがちらつき、場合によっては本物のURLが一瞬見えてしまうことがあります。
これは、攻撃コードがブラウザを偽装URLにリダイレクトするように設計されているにもかかわらず、コンテンツが読み込まれる前に現在のページを再読み込みするからです。これは10ミリ秒ごとに非常に高速に行われるため、ちらつきが発生します。
Mac OS X の Safari ではちらつきが目立たないため、何かがおかしいことに気づきにくくなります。
「この概念実証は完璧ではないが、フィッシング攻撃に非常に簡単に利用できるように修正される可能性は間違いなくある」とSANSインターネット・ストーム・センターの担当者マヌエル・ウンベルト・サンタンデール・ペレス氏はブログ投稿で述べた。
このエクスプロイトは、OS X 10.10.3 および Safari 8.0.6 を実行している最新の MacBook Pro と、iOS 8.3 を搭載した iPhone 5S でテストされ、正常に実行されました。
