Une preuve de concept (POC) montre comment un code JavaScript peut faire croire à un utilisateur du navigateur Safari qu'il consulte le site du Daily Mail comme le signale sa barre d'adresse alors que ce n'est nullement le cas. Le contenu affiché est en fait en provenance de deusen.co.uk.
Il semble que le code de la POC force un utilisateur de Safari à visiter l'URL du Daily Mail mais le script " charge rapidement une autre URL avant que la page légitime puisse être chargée ", explique Jeremiah Grossman de White Hat Security à Ars Technica. Il parle d'un hack astucieux.
Ce n'est qu'une démo mais une exploitation malveillante pourrait être autrement plus sérieuse comme pour voler des identifiants de connexion ou installer des malwares depuis un site que l'on croit de confiance. Pour le moment, il n'y a pas de rapport d'une telle attaque dans la nature.
La vulnérabilité - baptisée iWhere - affecte les versions les plus à jour de Safari tant pour OS X que iOS. La trouvaille est celle d'un groupe de chercheurs en sécurité connu en tant que Deusen. Ce groupe avait fait parler de lui en février dernier en divulguant une vulnérabilité de type cross-site scripting (XSS) affectant Internet Explorer et aboutissant à du phishing difficilement détectable.
Reste maintenant à savoir quelle sera la réaction d'Apple.
