تم الكشف عن ثغرة أمنية خطيرة في متصفح Safari الإصدارات الخاصة ببيئة Apple، في حالة استغلال الثغرة فإنه يمكن للمهاجم أن يقوم بخداع المستخدم وتوجيهه إلى صفحة ملغمة أو صفحة تصيد عن طريقة url شرعي ويبدو موثوق للمستخدم، ولكن في حقيقة الأمر تكون الصفحة الموجه إليها المستخدم ليس لها علاقة من قريب أو بعيد بالـ url المعروض للمستخدم في أعلى المتصفح.

Apple-Pirate

مجموعة من الباحثين الأمنيين يعرفوا باسم Deusen، قاموا بشرح كيف أن ثغرة الـ address spoofing هذه يمكن استغلالها من قبل الهكرز لخداع المستخدمين والإيقاع بهم، بحيث يتصور المستخدم أنه يزور موقع موثوق في حين أن متصفح Safari يكون متصل بصفحة أخرى تماماً غير الصفحة التي يظهر الـ Address الخاص بها للمستخدم.

هذه الثغرة تسمح للمهاجم بتوجيه المستخدم لصفحات ملغمة أو صفحات تصيد بدلاً من الصفحات الموثوقة، ومن ثم يمكن تثبيت برمجيات خبيثة على الجهاز الخاص بالمستخدم مما يؤدي إلى إمكانية سرقة بيانات تخص المستخدم في التعاملات المالية أو أي بيانات شخصية أخرى مهمة.

يذكر أن الفريق الذي قام باكتشاف هذه الثغرة هو نفس الفريق الذي قد قام باكتشاف مجموعة ثغرات من نوع XSS في متصفح الـ Internet Explorere الخاص بميكروسوفت مما ترتب عليه قيام ميكروسوفت بإصدار تحديث أمني سريع في فبراير الماضي.

وقام الفريق بنشر الـ PoC الخاص بالثغرة مؤخراً، وجدير بالذكر أن الـ PoC يعمل بشكل كامل على جميع إصدارات Apple’s الخاصة بنظام تشغيل الهواتف IOS ونظام تشغيل الـ Desktop PC أيضاً OS X.