セキュリティ研究者のNitesh Dhanjani氏は2010年11月29日、米アップルの「iPhone」や「iPad」のOSである「iOS」の仕様を悪用すれば、iOSの標準Webブラウザー「Safari」に表示されるURLを偽装できることを明らかにした。偽装が可能であることを示すデモページも公開している。
iOSの仕様では、Webサイト側から、Safariのアドレスバーを隠すことができる。具体的には、Webページ(HTMLファイル)にある記述をしておけば、SafariにそのWebページを表示させた後、Webページを上にスクロールさせることで、アドレスバーを隠すことができる。実際、この仕様を利用しているWebサイトは多数存在する。
今回指摘されたのは、この仕様の問題点。この仕様を悪用すれば、実際のURLを表示しているアドレスバーを隠し、偽のアドレスバーを本物だと見せかけることができるという。つまり、フィッシング詐欺などに悪用される恐れがある。
偽装が可能であることを示すために、Dhanjani氏はデモページを公開している。同ページにiPhoneのSafariでアクセスすると、米国の銀行「バンク・オブ・アメリカ」のモバイル用サイトが表示される(図1)。この画面のアドレスバーにあるURLは「bankofamerica.com」なので、一見すると本物のサイトに思える。
しかし、ここで表示されているのはアドレスバーに見せかけた画像ファイル。本物のアドレスバーは、前述の仕様を利用して隠している。表示されているページを下にスクロールすると、本当のアドレスバー(URLは「www.dhanjani.com/iphone-safari-ui-spoofing/」)が現れる(図2)。
Dhanjani氏のブログによれば、同氏はこの問題を米アップルに報告済み。だが、同社がこの問題をいつ、どのように解決するのかは分からないとしている。