Hace unos días en El lado del Mal se habló de un Address Bar Spoofing de libro en los enlaces a páginas web que se visualizan dentro del cliente Twitter para iPhone oficial, ya que no se muestra la URL en la visualización de la ubicación desde la que se está cargando el contenido, lo que es un grave error desde el punto de vista de seguridad.
 |
| Figura 1: Address Bar Spoofing en Twitter para iPhone |
Para ilustrar este problema se habló del Address Bar Spoofing que sufrió Mobile Safari en iOS 5.1 y que fue solucionado en iOS 5.1.1, por el que se podía ocultar la URL y pintar en pantalla una direccion URL falsa, haciendo creer al usuario que estaba en una web que no era así - algo que ya había sucedido también en iOS 4 -
 |
| Figura 2: Address Bar Spoofing en Mobile Safari en iOS 5.1 |
Sin embargo, al probar en Mobile Safari de iOS 6.0.1 la Prueba de concepto del fallo de Address Bar Spoofing en iOS 5.1, hemos podido contrastar que la solución aplicada no es lo más deseable, ya que lo que sucede es que la URL se queda en blanco, pero nunca dice en qué ubicación real está realmente el usuario, lo que podría seguir siendo utilizado para engañar a los usuarios menos informados.
 |
| Figura 3: POC de Address Bar Spoofing en iOS 6.0.1 |
En nuestra opinión, esta solución no es correcta, y aunque a los que trabajamos con seguridad nos llamaría mucho la atención y no pondríamos nunca una contraseña ahí, se debería mostrar correctamente la URL de la ubicación de la página cargada.
No hay comentarios:
Publicar un comentario