Menú principal

lunes, 6 de mayo de 2013

Twitter para iOS arregló el Address Bar Spoofing... ¿o no?

La aplicación de Twitter para iOS era un caramelo para el phishing, ya que cuando un usuario recibe un tweet con un enlace acortado y éste lo abre se dispone de una vista web embebida en la aplicación que provocaba un Address Bar Spoofing. Esta vista web no mostraba la URL a la que el usuario realmente se estaba conectando, provocando que la realización de un phishing fuera rápido y sencillo, por la naturaleza de Twitter.

La última versión de Twitter para iOS solucionaba este bug, ya que pintaba en el borde superior de la vista embebida la URL a la que el usuario se estaba conectando, tal y como se puede visualizar en la siguiente imagen:

Figura 1: Phishing en Twitter para iOS

Este sitio web no es el login real de Twitter Mobile, aunque realmente lo parece. Como se puede ver en las últimas versiones de la aplicación la URL a la que se conecta el dispositivo móvil aparece en el marco de la aplicación embebida. Al visualizar esto el usuario desconfiará y realmente no introducirá ningún dato en los campos requeridos. Además, la dirección IP informa rápidamente de que el culpable está en nuestra red, por lo que tenemos pillado al susodicho.

El arreglo solo fue a medias

En la imagen siguiente podemos observar que si el usuario o víctima tiene el dispositivo iOS tumbado la aplicación seguirá sin mostrar su dirección URL en el marco de la aplicación. ¿Fail? Eso nos parece, ¿se les habrá olvidado introducir en este tipo de vista algo tan importante como la dirección URL a la que se conecta la aplicación?

Figura 2: Aplicación Twitter para iOS tumbada

Las aplicaciones que tienen vistas web embebidas son realmente peligrosas en el día a día, sobretodo si otros usuarios pueden enviarnos links desde ella y conseguir que visualicemos sitios web. Por eso hay que tener cuidado a lo que se accede y siempre tener en cuenta a donde se está accediendo.

1 comentario:

  1. jajaja fallo de concepto en la programación, estos de twitter no entienden o no quieren entender de dichos peligros

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares