Apple zeigt “Herz für Phisher” …

Noch ein kleiner Nachtrag zum Beitrag hier – ich hatte es beim Schreiben der iPad-Manuskripte zwar bemerkt, aber (mangels Nachdenkzeit) die Tragweite nicht erkannt. Apple entwickelt wohl ein ‘Herz für Phisher’ und erleichtert deren Geschäft bei Safari-Benutzern.


Anzeige

Hintergrund ist folgender: Im Safari wird (zumindest bei iOS) keine vollständige URL mehr angezeigt. Es scheint vielmehr nur noch die Domäne der Art Spiegel.de etc. im Adressfeld. Ist natürlich ein gefundenes Fressen für Phisher. Mark Nottingham hat es hier bei Twitter dankenswerterweise thematisiert (gefunden hier).

Ich habe es mal an einem kleinen Screenshot nachgestellt. Hier seht ihr meine Startseite des Blogs, angezeigt wird die URL borncity.com. Prima, ich bin auf meiner eigenen Seite – und jetzt findet den Fehler.

Das obige Bild zeigt die im Safari angezeigt URL borncity.com im Adressfeld, mit der Seite des Blogs im Dokumentbereich. Der Blog liegt aber unter der Adresse https://www.borncity.com/blog/. Sprich: Der komplette Pfad innerhalb der URL wird hinter der Domain abgeschnitten.

Ergebnis: Hacke einen WordPress-, Drupal-, oder was weiß ich Server, stecke deine Malware in ein Unterverzeichnis und schicke einem iOS-Nutzer den vollständigen Link. Der bekommt eh nur die Haupt-Domain angezeigt und wähnt sich in Sicherheit, auf der Webseite des Bundestags, der Uno oder was weiß ich – und im Hintergrund werkelt die Malware. Prima gemacht Apple!


Anzeige

Dieser Beitrag wurde unter Internet, iOS, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.