El investigador Nitesh Dhanjani acaba de publicar una prueba de concepto en la que demuestra lo sencillo que es engañar a todos los usuarios que navegan a través de iOS con sitios falsos de phising. El problema es tant tonto como peligroso.
Mientras que todos los navegadores se esfuerzan en informar correctamente de en qué página se encuentra un usuario, en el dispositivo iPhone, y todos lo que usen iOS, por una decisión de diseño, el navegador permite al programador de la página web empujar la barra de direcciones fuera de la zona visible por el usuario. El objetivo de esta característica es generar un mayor espacio útil en la pantalla del iPhone, iPod Touch e iPad pero genera un vector de ataque muy peligroso.
El investigador ha publicado unos ejemplos en los que demuestra que, para un sitio falso de phishing, es suficiente con empujar la barra de direcciones fuera de la vista del usuario y "pintar" una barra de direcciones falsa, tal y como se puede ver en la siguiente imagen.
Figura 1: Izquierda como lo ve el usuario, a la derecha la página con la dirección real.
El problema es muy serio y funciona en todos los dispositivos con sistema operativo iOS, donde por decisión de diseño, se permite que todas las aplicaciones puedan tomar el control total de la pantalla. Ten especial cuidado donde navegas, que una vez que el truco se hace público, empieza a ser utilizado masivamente. En Youtube tienes un vídeo que muestra como funcionan estas técnicas.
Estas formas de ataque, pueden ser utilizadas para engañar a los usuarios con las principales aplicaciones utilizadas en estos dispositivos, es decir, las del mundo social 2.0 de hoy en día.
El video ha sido eliminado, tienen otra fuente para poder verlo?
ResponderEliminarYa lo hemos actualizado, que lo han cambiado de sitio.
EliminarSaludos!