Safari-URL-bug-check

Bug in Safari maakt URL’s makkelijk te vervalsen

Door een bug in Safari kunnen URL's van websites vervalst worden, zodat criminelen nog geloofwaardiger de indruk kunnen wekken dat je op de website van jouw bank zit.
Lars Paymans - · Laatst bijgewerkt:

Door misbruik te maken van een fout in Safari kunnen kwaadwillenden valse informatie tonen in de adresbalk van je browser. Hierdoor kunnen ze zich gemakkelijk voordoen als een betrouwbare website, terwijl ze er ondertussen met je gegevens vandoor gaan.

Safari-URL-bug-check

De bug werd ontdekt door onderzoekers van het Britse IT-bedrijf Deusen en laat zien hoe Safari-gebruikers voor de gek gehouden worden, zonder dat ze het doorhebben. Terwijl jij bijvoorbeeld denkt dat je de website van je bank bezoekt, ben je in werkelijkheid verbonden met een totaal ander adres dat malware installeert. Normaal gesproken proberen criminelen websites van banken na te maken, maar kun je aan de URL meteen zien dat het om een vervalsing gaat. Deze nieuwe bug maakt het gevaarlijker omdat de URL gewoon lijkt te kloppen.

De URL-vervalsing kan worden gebruikt bij phishing (waarbij criminelen uit zijn op jouw persoonlijke (inlog)gegevens) en bij malware-aanvallen.

Test het zelf

Je kunt zelf checken of jouw Mac, iPhone of iPad gevoelig is voor de bug. Door naar de testwebsite van Deusen te gaan en op ‘Go’ te klikken, doet je adresbalk geloven dat je op dailymail.co.uk zit, terwijl je eigenlijk de website deusen.co.uk bezoekt.

Safari-URL-Bug

Het werkt zo: het script stuurt Safari eerst naar de echte URL, maar nog voordat de pagina geladen is, wordt er (iedere 10ms) een andere URL geladen. Hierdoor is de pagina nooit klaar met laden als er alweer een nieuwe URL verschijnt. De originele URL staat ondertussen gewoon nog in de adresbalk. Uit tests blijkt dat de bug ook op de meest recente versies van iOS en OS X werkt.

Opletten geblazen

Volgens Ars Technica kunnen oplettende internetters de bug wel ontdekken, omdat de valse webpagina zich om de zoveel tijd automatisch ververst.

Op OS X is dit relatief snel na te gaan door de volledige domeinnaam van een website te tonen, in plaats van enkel de basis-URL. Dit doe je door naar ‘Voorkeuren’ te gaan in het Safari-menu, naar ‘Geavanceerd’ te navigeren en vervolgens ‘Toon volledig websiteadres’ aan te vinken.

Bij Safari op iOS-apparaten kun je letten op ‘trillende’ URL’s in de balk en het niet verdwijnen van het kruisje ernaast, wat aangeeft dat de pagina nog niet klaar is met laden.

Ook verschijnt het EV ssl certificaat niet, de groene balk die aangeeft dat een webpagina beschikt over een beveiligde verbinding. Deze balk verschijnt echter niet bij iedere website, dus is het nog steeds opletten geblazen als je een webpagina niet helemaal vertrouwt.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 19 mei 2015, 14:43
Categorieën iOS, Mac & macOS
Onderwerpen beveiliging, bug, safari

Reacties zijn gesloten voor dit artikel.