Menú principal

viernes, 23 de marzo de 2012

Apple Safari en iOS 5.1 vulnerable a Address Bar Spoofing

Las técnicas de Address Bar Spoofing (suplantación de la barra de direcciones) en navegadores tienen como objetivo el engañar al usuario haciéndole creer que están en un sitio, cuando realmente están en otro. Estas técnicas son utilizadas en esquemas de ataque de phishing, en los que se intentan robar credenciales al usuario haciéndole pensar que está en el sitio adecuado, cuando realmente está en un sitio malicioso.


Ahora, en iOS 5.1 se ha publicado una nueva forma de conseguir realizar un ataque de Address Bar Spoofing que permitiría a un atacante engañar a sus víctimas con visitar la página maliciosa. La vulnerabilidad ha sido publicada por David Vieria-Kurz de la empresa Major Security, y tal y como se puede ver en esta imagen, es posible suplantar la barra de direcciones del navegador.

Figura 1: Demo Online suplantando la barra de direcciones para simular ser Apple.com

El fallo se produce por la existencia de un error en el trabajo de la función windows.open() en Javascript en la implementación del Apple Webkit/534.46, que permite hacer esto a un atacante. La vulnerabilidad, tal y como describe el advisory está también presente en iOS 5.0, y a día de hoy no hay parche disponible para solucionarlo, por lo que se recomienda no visitar páginas importantes siguiendo ningún enlace en otra web o en un correo electrónico. Si quieres probarlo en tu terminal, hay una demo online.

1 comentario:

  1. Me pregunto lo siguiente:

    1. ¿Apple considerará los aspectos de seguridad en el ciclo de vida de desarrollo del software (SDLC)?

    2. ¿Apple tiene personal especializado en seguridad de la información con certificaciones como: CISSP, CEH, CISA, CISM, GIAC, GSEC, etc.?

    3. ¿Apple no quiere invertir en seguridad o sabe lo que hace?

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares