Мобильный Safari никогда не был эталоном неприступности и одно время использовался хакерами для джейлбрейка iДевайсов. Конечно, Apple постоянно совершенствует безопасность системы, но, как это всегда бывает, даже небольшая ошибка может перечеркнуть все усилия компании. Вчера была найдена одна из них.

Согласно исследованию Дэвида Виейра-Курца (David Vieira-Kurz) из MajorSecurity.net, пользователи iOS 5.1 могут столкнуться с критической уязвимостью, которая проявляется из-за неправильной обработки адреса сайта при использовании метода JavaScript window.open(). Злоумышленники могут использовать найденный баг для обмана пользователей и получения конфиденциальных данных, подменив адресную строку браузера.

В результате этого отображенный на экране URL может не соответствовать посещаемому веб-ресурсу. Для наглядной демонстрации Дэвид смастерил тестовую страницу. Если вы зайдете на неё при помощи любого яблочного гаджета с установленной iOS 5.1 и нажмете на кнопку, загрузится поддельный сайт, но в адресной строке будет по прежнему написано www.apple.com.

Компания из Купертино уже подтвердила, что знает об этой уязвимости и обещает в скором времени выпустить обновление iOS. А до этого будьте осторожны при открытии ссылок, которые прислали вам неизвестные личности, поскольку таким образом они могут заполучить ваши учетные данные (логин/пароль) от важных сайтов.


Читайте также: