Bug in Safari maakt URL’s makkelijk te vervalsen

Door een bug in Safari kunnen URL's van websites vervalst worden, zodat criminelen nog geloofwaardiger de indruk kunnen wekken dat je op de website van jouw bank zit.
Lars Paymans - · Laatst bijgewerkt:

Door misbruik te maken van een fout in Safari kunnen kwaadwillenden valse informatie tonen in de adresbalk van je browser. Hierdoor kunnen ze zich gemakkelijk voordoen als een betrouwbare website, terwijl ze er ondertussen met je gegevens vandoor gaan.


Safari-URL-bug-check

De bug werd ontdekt door onderzoekers van het Britse IT-bedrijf Deusen en laat zien hoe Safari-gebruikers voor de gek gehouden worden, zonder dat ze het doorhebben. Terwijl jij bijvoorbeeld denkt dat je de website van je bank bezoekt, ben je in werkelijkheid verbonden met een totaal ander adres dat malware installeert. Normaal gesproken proberen criminelen websites van banken na te maken, maar kun je aan de URL meteen zien dat het om een vervalsing gaat. Deze nieuwe bug maakt het gevaarlijker omdat de URL gewoon lijkt te kloppen.

De URL-vervalsing kan worden gebruikt bij phishing (waarbij criminelen uit zijn op jouw persoonlijke (inlog)gegevens) en bij malware-aanvallen.

Test het zelf

Je kunt zelf checken of jouw Mac, iPhone of iPad gevoelig is voor de bug. Door naar de testwebsite van Deusen te gaan en op ‘Go’ te klikken, doet je adresbalk geloven dat je op dailymail.co.uk zit, terwijl je eigenlijk de website deusen.co.uk bezoekt.

Safari-URL-Bug

Het werkt zo: het script stuurt Safari eerst naar de echte URL, maar nog voordat de pagina geladen is, wordt er (iedere 10ms) een andere URL geladen. Hierdoor is de pagina nooit klaar met laden als er alweer een nieuwe URL verschijnt. De originele URL staat ondertussen gewoon nog in de adresbalk. Uit tests blijkt dat de bug ook op de meest recente versies van iOS en OS X werkt.

Opletten geblazen

Volgens Ars Technica kunnen oplettende internetters de bug wel ontdekken, omdat de valse webpagina zich om de zoveel tijd automatisch ververst.

Op OS X is dit relatief snel na te gaan door de volledige domeinnaam van een website te tonen, in plaats van enkel de basis-URL. Dit doe je door naar ‘Voorkeuren’ te gaan in het Safari-menu, naar ‘Geavanceerd’ te navigeren en vervolgens ‘Toon volledig websiteadres’ aan te vinken.

Bij Safari op iOS-apparaten kun je letten op ’trillende’ URL’s in de balk en het niet verdwijnen van het kruisje ernaast, wat aangeeft dat de pagina nog niet klaar is met laden.

Ook verschijnt het EV ssl certificaat niet, de groene balk die aangeeft dat een webpagina beschikt over een beveiligde verbinding. Deze balk verschijnt echter niet bij iedere website, dus is het nog steeds opletten geblazen als je een webpagina niet helemaal vertrouwt.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Safari

Safari is de Apple's eigen webbrowser die standaard beschikbaar is op iPhone, iPad en Mac. Safari draait op WebKit, de motor achter de browser en ondersteunt alle huidige internetstandaarden. Safari heeft allerlei handige functies, zoals het instellen van favoriete websites, bladwijzers, het Safari-privacyrapport, het aanmaken van Safari-profielen en nog veel meer. De browser krijgt regelmatig nieuwe functies, samen met grote iOS-, iPadOS- en macOS-updates. Lees hier alles over Safari en nuttige tips.

Ook interessant

Reacties: 12 reacties

  1. Op OS X Mavericks met Safari 7.1.6 heb ik dit probleem niet.

  2. Mijn iPhone heeft deze bug. 🙁

  3. Is er wat tegen te doen?

  4. Ook op mijn iPad.
    Het is wel duidelijk in de adresbalk dat website niet geladen is. Geen herlaad tekentje maar het kruis. Dus voor oplettende gebruiker wel zichtbaar dat er iets niet klopt.

  5. @Frans: SSL (EV) certificaten worden niet geladen. Als je dus wijsgemaakt wordt dat op de site van PayPal zit, weet je dat dit niet zo is omdat het groene slotje met “PayPal” niet zichtbaar is. Verder goed uitkijken en als je het niet zeker weet, typ zelf de URL (b.v. https://paypal.nl)

  6. Terwijl jij bijvoorbeeld denkt dat je de website van je bank bezoekt, ben je in werkelijkheid verbonden met een totaal ander adres dat malware installeert.

    Als je nu nog steeds niet het adres van je bank in je favorieten hebt staan dan vraag je er ook om.

  7. Inderdaad werkt dit zoals aangegeven maar, het is wel te zien dat het niet goed gaat, je kan op deze link je adresbalk niet klikken zoals dat wel kan met normale links. Dus ja het is een bug, maar de oplettende gebruiker zou het op moeten vallen.

  8. Het is makkelijk op te lossen door de volledige URL in de navigatie bar te tonen.

    De hack is namelijk vrij simple, blijf achter elkaar een nieuwe pagina open en bij het laden van die pagina word dan alleen de host getoond. Dit is standaard in Safari.
    Door dat Safari genaaid heeft om de pagina te laden voor dat de volgende word in geladen blijf je gewoon op laatst getoonde pagina.

  9. Origineel geplaatst door febb74
    Als je nu nog steeds niet het adres van je bank in je favorieten hebt staan dan vraag je er ook om.

    Totdat ik jouw favorieten hack en onder de noemer “ING bank” een fake url maak.

  10. Origineel geplaatst door Gabor:
    Totdat ik jouw favorieten hack en onder de noemer “ING bank” een fake url maak.

    Hacken? Dus je hebt al controle over mijn pc? Dan is er dus al een stap gemaakt. Volgens mij denk je nu dan een stapje “te vroeg”

  11. Je ziet het op de iPhone 6 wel, maar hij flikkert heel snel tussen de twee sites

  12. Ik krijg helemaal geen andere website naam voorgeschoteld. Is de bug opgelost? Of hebben ze de demo gestopt?