iOS 11 ma niezwykle poważny problem, który wykazał dzisiaj badacz zajmujący się bezpieczeństwem komputerów, ujawniając, że przeglądarka Safari na iPhone'a i iPada może zostać wykorzystana przez hakerów. Dokładniej mówiąc, mówimy o ataku typu spoofing, który pozwala zamaskować prawdziwy adres strony internetowej ładowanej w przeglądarce Safari na iOS 11, przy czym haker może skierować użytkownika do złośliwej witryny, mimo że wyświetlany jest adres URL bezpiecznej witryny w przeglądarce.
iOS 11 pokazał ten bardzo poważny problem bezpieczeństwa na poniższym filmie, dzięki czemu można łatwo zobaczyć, w jakim stopniu hakerzy mogą nas oszukać do kradzieży naszych danych i nie tylko. Demonstracja na poniższym klipie wideo pokazuje, jak łatwo można nakłonić użytkownika do wprowadzenia danych logowania do konta bankowego w przeglądarce Safari na iOS 11, myśląc, że to witryna banku, podczas gdy w rzeczywistości jest to witryna hakera.
UWAGA: POWAŻNY problem wykryty w IOS 11
iOS 11 nie jest jedynym systemem operacyjnym, którego dotyczy ten problem. Windows 10 także jest dostępny za pośrednictwem Microsoft Edge, ale te firmy Microsoft rozwiązały problem, a Apple jeszcze tego nie robił. Jest bardzo możliwe, że Apple rozwiązało problem w iOS 12, ale iOS 11 nadal jest podatny na ataki i użytkownicy nie będą wiedzieć, czy witryna, do której wchodzą, jest prawdziwa, czy też stworzona przez hakerów w celu oszukania ich.
„Podczas moich testów zaobserwowano, że po zażądaniu danych z nieistniejącego portu adres został zachowany, a zatem z powodu wyścigu o zasób żądany z nieistniejącego portu w połączeniu z opóźnieniem wywołanym przez funkcję setInterval udało się wyzwolić adres fałszowanie barów.”
iOS 11 miał ten problem zgłoszony firmie Apple 2 czerwca, czyli ponad 3 miesiące temu, ale w międzyczasie w tej wersji systemu operacyjnego nic się nie zmieniło, więc nadzieje pokłada się w iOS 12. Jedyny plus w tym wszystkim problem polega na tym, że złośliwe strony internetowe muszą być ładowane poprzez protokół HTTP, dlatego użytkownicy muszą uważać, aby wprowadzać dane wyłącznie w witrynach HTTPS, przynajmniej w przypadku banków.
