Menú principal

sábado, 22 de diciembre de 2012

Un fallo de seguridad en iOS 6 permite habilitar JavaScript desde una web vista en Safari usando Smart App Banner

En Apple Insider han publicado un nuevo bug de seguridad en iOS 6 que tiene implicaciones - y muy serias - para la privacidad de los usuarios de dispositivos iPhone, iPad, iPod Touch o iPad mini con sistema operativo iOS 6, ya que este fallo permite a cualquier página web que se esté visitando desde el terminal habilitar el soporte para la ejecución de cualquier código en lenguaje JavaScript dentro de Apple Mobile Safari, aunque previamente el dueño del dispositivo lo haya desactivado explícitamente en las opciones de configuración del navegador.

El bug existe en la característica de Smart App Banner, que permite promocionar una aplicación de App Store desde el navegador, para lo que se puede comprobar si la app en cuestión está ya instalada - para abrirla - o si no lo está - para abrir el enlace en la App Store -. El uso de esta función en una página web habilita JavaScript en el dispositivo, lo que es un fallo de seguridad bastante grave para la privacidad de los usuarios.

Para probar este fallo puedes conectarte con tu dispositivo con iOS 6 a la web que Apple Insider ha publicado como PoC (Proof of Concept) con JavaScript desactivado en tu navegador. Después entra en la web, y comprueba como se te ha activado otra vez el soporte para JavaScript.

Figura 1: PoC en iOS6 en el que se habilita JavaScript desde una web

Impacto de Javascript en la seguridad de los usuarios

El soporte de JavaScript en los navegadores es algo que muchos usuarios no quieren tener habilitado por motivos de privacidad y seguridad. El lenguaje JavaScript ha sido utilizado en muchos esquemas de ataque Client-Side, como el robo de cookies de sesión - Session Hijacking - por fallos de XSS - lo que llevó a que a las cookies se les pudiera añadir el flag HTTP-Only -, para vigilar a los usuarios como se puede ver en esta PoC de JAPI Tracing, lo que podría hacerse mediante el análisis de la huella digital de las conexiones.

Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets

En un esquema de infección mayor, desde Informática 64 trabajamos en el estudio y análisis de las posibilidades que tiene el uso de JavaScript para crear una botnet para robar contraseñas, y hacer ataques dirigidos, y puedes ver todo el trabajo en Owning bad guys {and mafia} with Javascript botnets y en el vídeo que tines incrustado.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares