Safari: URL-Spoofing per Javascript

In Apples Browser Safari lässt sich mit wenig Javascript eine andere URL anzeigen als die tatsächlich angesurfte. So könnten Benutzer unwissentlich auf eine Webseite mit Malware umgeleitet werden.

Artikel veröffentlicht am ,
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen.
Mit wenigen Zeilen Javascript kann im Safari-Browser eine gefälscte Webseite mit einer legitimen Webadresse anzeigen. (Bild: Deusen)

Mit ein paar Zeilen Javascript können Anwender von Apples Browser Safari getäuscht werden: In der URL-Zeile könnte eine vertrauenswürdige Webseite angezeigt werden, während eigentlich eine nachgebildete Seite mit Malware oder einem Login geladen wird.

  • Unter Safari wird mit dem Javascript in der URL-Zeile eine vertrauenswürdige Webadresse angezeigt, die sichtbare Webseite muss es aber nicht sein. (Screenshot: Golem.de)
  • Unter Firefox funktioniert dieser Trick nicht. (Screenshot: Golem.de)
Unter Safari wird mit dem Javascript in der URL-Zeile eine vertrauenswürdige Webadresse angezeigt, die sichtbare Webseite muss es aber nicht sein. (Screenshot: Golem.de)


Der Machbarkeitsnachweis ist auf der speziell dafür eingerichteten Webseite Deusen.co.uk zu sehen. Mit einem Klick auf OK wird eine weitere Webseite geladen, deren URL auf die Webseite der Publikation Daily Mail weist. Zu sehen ist allerdings nur eine Mitteilung, dass es sich nicht um den Webauftritt der Publikation handelt.

Das Spoofing erledigt nur wenige Zeilen Javascript:

function f()
{
location="http://www.dailymail.co.uk/home/index.html?random="+Math.random();
}
setInterval("f()",10);

Auf die legitime Webseite sollte eigentlich über Location weitergeleitet werden. Die Funktion Math.random() verhindert jedoch das Laden der legitimen Webseite, weil Safari stattdessen die entsprechenden kryptografischen Berechnungen weiterleitet und so das Laden dessen Inhalts verhindert. Die aktuelle URL-Zeile wird über setInterval alle 10 Millisekunden aufgefrischt. Streng genommen, handelt es sich dabei auch um einen DDoS-Angriff auf die vertrauenswürdige Webseite.

Getestet haben wir die Spoofing-Seite unter der aktuellen Version 8.0.6 von Safari auf einem Macbook Air und einem Macbook Pro. Nach einer Weile brach das Skript jedoch ab und leitete auf Daliy Mail weiter. Auf einem iPad mit iOS 8.3 funktionierte das Spoofing ebenfalls, allerdings flackert die Anzeige in der URL-Zeile deutlich, was ebenfalls auf ein Problem hinweisen könnte. In den Einstellungen in Safari lässt sich unter "Erweitert", die Option "Vollständige Webadresse anzeigen" aktivieren. Dann zeigt der Browser in der URL-Zeile die Ergebnisse der Funktion MathRandom an.

In Googles Chrome und Mozillas Firefox funktioniert der Code unter Mac OS X nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
HTTPS
Chrome will HTTP Public Key Pinning wieder aufgeben
artikel-bild
Windows Hello
Notebooks lassen sich mit A4-Gesichtsausdruck entsperren
artikel-bild
Apple-Betriebssystem
MacOS High Sierra bringt neues Dateisystem und Videocodec
Meistgelesen
artikel-bild
Ghost Shark
Australien zeigt Prototyp einer riesigen Unterwasserdrohne
artikel-bild
Fehlerhaftes Pedal
Tesla muss Cybertruck zurückrufen
artikel-bild
Voodoo-X
Bastler bauen eine neue 3dfx Grafikkarte
Kommentarübersicht
Re: Nicht Kryptografie
Ext3h 20. Mai 2015

Stimmt inhaltlich übrigens immer noch nicht. Der Fehler ist schlichtweg, dass Safari die...

Re: Funktioniert in Mozilla Firefox
Ext3h 20. Mai 2015

Der Safari ist etwas "übereifrig" mit dem Aktualisieren der Adresszeile. Die anderen...

Daily Mail bedankt sich für DDoS
NeoTiger 20. Mai 2015

Hallo golem.de, Hättet ihr im Code nicht eine Fake-Addresse verwenden können? Hier sind...

Re: Ist doch so schon lange in anderen Browsern...
grain 20. Mai 2015

nope, history.pushState() bzw. history.replaceState geht nur wenn die URL auf die gleiche...

Aktuell auf der Startseite von Golem.de
Fehlerhaftes Pedal
Tesla muss Cybertruck zurückrufen

Tesla hat beim Cybertruck einen erheblichen Rückschlag erlitten. Das Unternehmen hat eine Rückrufaktion für fast alle 3.878 Cybertrucks gestartet.

Fehlerhaftes Pedal: Tesla muss Cybertruck zurückrufen
Artikel
  1. Ghost Shark: Australien zeigt Prototyp einer riesigen Unterwasserdrohne
    Ghost Shark
    Australien zeigt Prototyp einer riesigen Unterwasserdrohne

    Die Royal Australian Navy hat zusammen mit Anduril Ghost Shark vorgestellt, eine U-Boot-Drohne, die Aufklärungs-, Überwachungs- und Erkundungsmissionen durchführen soll.

  2. Voodoo-X: Bastler bauen eine neue 3dfx Grafikkarte
    Voodoo-X
    Bastler bauen eine neue 3dfx Grafikkarte

    Mit originalen Chips und neuen Designtools soll die bisher beste 3dfx-Grafikkarte entstehen. HDMI und zuschaltbaren Speicher gab es bisher nicht.

  3. Altstore für iPhones ausprobiert: So wenig Spaß macht die Installation alternativer Appstores
    Altstore für iPhones ausprobiert
    So wenig Spaß macht die Installation alternativer Appstores

    Dank DMA lassen sich in Europa endlich alternative App-Marktplätze auf iPhones installieren. Golem.de hat das mit dem Altstore ausprobiert - mit reichlich Frust.
    Ein Erfahrungsbericht von Tobias Költzsch und Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Spring Sale bei Gamesplanet • Neuer MediaMarkt-Flyer • MindStar: AMD Ryzen 7 7800X3D 339€ • Bose Soundbar günstig wie nie • Samsung Galaxy S23 -37% • MSI OLED Curved 34" UWQHD 175Hz -500€ • Alternate: Deep Cool CH560 Digital Tower-Gehäuse 99,90€ • PS5-Spiele -75% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /