Menú principal

sábado, 23 de mayo de 2015

Address Bar Spoofing bug en Apple Safari {OS X e iOS}

Se ha publicado un bug que permite hacer Address Bar Spoofing en todas las versiones de Apple Safari para iOS y para OS X aún en las últimas versiones. El bug se puede probar en la página web de Deusen, donde han publicado una prueba de concepto que permite comprobar como el bug funciona. Entra en la web con una versión de Apple Safari y dale a Go, verás que navegas a una web que se supone que es la de Dailymail pero no lo es.

Figura 1: La dirección indica una web, pero se ve otra

El truco, o el bug, consiste en pedir una recarga constante de la web que se quiere spoofear, mientras que se muestra la web que suplanta el sitio. Lo que aprovecha este ataque es que Apple Safari primero actualiza la dirección en la barra y luego intenta cargar el contenido.

Figura 2: El código fuente del ataque

Al hacerse una petición muy rápida de volver a navegar a otra URL del mismo dominio, lo que sucede es que comienza otra vez el proceso de carga. El resultado es que se ve la dirección a la que se está intentando navegar, al mismo tiempo que se ve la web falsa.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares