Sigurnosni su stručnjaci otkrili kritičnu ranjivost koja omogućava napadačima lažiranje adrese internetskih stranica u preglednicima Microsoft Edge za operacijski sustav Windows i Apple Safari za operacijski sustav iOS.

 

Iako je Microsoft otklonio mogućnost lažiranja adrese u sklopu svojih mjesečnih sigunosnih zakrpa, Apple isto nije napravio te je Safari još uvijek ranjiv na phishing napade.

 

Phishing napadi su danas sve sofisticiraniji te ih je sve teže uočiti, a ova novo otkrivena ranjivost dodatno otežava detekciju jer zaobilazi osnovne mehanizme za detekciju kao što su URL i SSL.

 

Ranjivost CVE-2018-8383 otkrio je pakistanski sigurnosni stručnjak Rafay Baloch koji smatra kako je ranjivost prouzrokovana promjenom međurezultata operacije radi utjecanja na konačnu izlaznu vrijednost operacije.

 

Uspješno iskorištavanje spomenute ranjivosti moglo bi napadačima omogućiti da pokrenu učitavanje legitimne stranice čija bi se adresa prikazivala u adresnom polju te zamijene te legitimne stranice zlonamjernom.

 

Kako se adresa ne mijenja nakon ubacivanja zlonamjerne stranice, ovakav bi phishing napad bilo teško primijetiti i naprednom korisniku.

 

Koristeći ovu ranjivost, napadač može lažirati bilo koju stranicu, što može uključivati Gmail, Facebook, Twitter ili čak stranice banaka, te kreirati lažne stranice za prijavu te ukrasti povjerljive podatke korisnika.

 

Baloch je objavio proof-of-concept (PoC) dokument u kojem detaljnije obrađuje ranjivost, a u kojem navodi kako Microsoft Edge i Apple Safati preglednici “omogućavaju javascript-u izmjenu adresnog polja dok se stranica još učitava”.

 

Prema Balochu, preglednici Google Chrome i Mozilla Firefox nisu zahvaćeni ovom ranjivošću.