Vrees voor phishers door absentie adresbalk iPhone
Gepubliceerd: Dinsdag 30 november 2010
Auteur: Chris Broesder
Een onderzoeker heeft een aanval op de Bank of America gedemonstreerd met de iPhone. Er zit een feature in de standaard iPhone-browser Safari die zorgt dat de adresbalk wegvalt, waardoor dit mogelijk is.
Beveiligingsonderzoeker Nitesh Dhanjani heeft een methode gedemonstreerd waarmee URL's verstopt worden bij Safari op de iPhone. Zo zouden bezoekers denken dat ze legitieme sites bezoeken, terwijl het tegendeel waar is.
In een blogpost laat Dhanjani zien hoe je de interface kunt gebruiken om het ware adres van een site te verstoppen. Daarmee worden phishing aanvallen een stuk makkelijker. Hij demonstreerde de methode op YouTube.
Balk verdwijnt
"Wanneer je naar de mobiele site surft van bijvoorbeeld de Bank of America met Safari op de iPhone, verdwijnt de adresbalk van het scherm. En dat terwijl sites zoals deze vaak waarschuwen die balk goed in de gaten te houden, omdat ze vaak ten prooi vallen aan phishing aanvallen", zegt Dhanjani.
De URL wordt heel even getoond en verdwijnt als je naar beneden scrollt. De feature is bedoeld om een zo groot mogelijk gedeelte van het kleine scherm te gebruiken voor de website zelf en wordt standaard veel gebruikt door webontwikkelaars.
Balk moet blijven
Dhanjani hoopt dat Apple de zaak aanpakt. Eén optie is volgens hem om de balk gewoon te laten staan, maar hij staat ook open voor andere oplossingen van Apple. Hij heeft het probleem al aan het bedrijf voorgelegd en in een reactie zegt een woordvoerder dat het bewust is van de zaak, maar dat er geen fix voor is op het moment.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
