Sur l’exemple qu’il montre, le navigateur d’Apple est trompé et affiche l’adresse dailymail.co.uk alors que la page visitée est en réalité deusen.co.uk. Cet exemple a été testé avec succès sur la dernière version de Safari sous iOS et OS X même avec les dernières mises à jour de sécurité installées. Son principe est simple : le code JavaScript que contient la page force le navigateur à visiter un autre site, et cela avant que la page actuelle ne soit chargée. Ceci est répété chaque 10 millisecondes en utilisant la fonction setInterval(), du coup le navigateur n’a pas le temps de modifier l’adresse du site dans la barre d’adresse.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 | <script> function f() { location="dailymail.co.uk/home/index.htm…"+Math.random(); } setInterval("f()",10); </script> |
Il semblerait que cette attaque marche bien sous MacBook mais pas les iPad. En effet, la barre d’adresse de Safari sur iPad est périodiquement rafraîchie ce qui permet d’affiche l’adresse réelle de la page visitée. Toutefois, certains utilisateurs pourront quand même être trompés puisqu’il n’est pas commun de revérifier constamment sa barre d’adresse pour voir si l’adresse de la page n’a pas changé.
Pour rappel, David Leo, avait publié en février dernier une autre démonstration sur SecureLists où il profita d’une importante faille sur Internet Explorer pour injecter du contenu d’un site sur un autre site tout en faisant croire à l’utilisateur qu’il s’agissait d’un contenu interne.
Source : Net Security
Et vous ?
Que pensez-vous de cette vulnérabilité ?