Menú principal

lunes, 21 de marzo de 2011

Apple Safari 5.0.4 vulnerable a engaños de doble extensión

En el blog de Un informático en el lado del mal se ha publicado una curiosa característica de Apple Safari 5.0.4 que puede ayudar a los atacantes a engañar a un usuario para logra la ejecución del malware en el sistema mediante técnicas de ingeniería social. El problema se produce cuando una aplicación web entrega un nombre de fichero demasiado grande para ser mostrado en el cuadro de diálogo

Figura 1: Doble extensión en Chrome
Ante esa situación, todos los navegadores modernos en sus últimas versiones, tienen especial cuidado en mostrar la extensión del fichero descargado, acortando el nombre del fichero que se muestra al usuario, tal y como se puede ver en este ejemplo con una descarga en Google Chrome en el que el archivo simula ser un vídeo, y es un ejecutable.

Sin embargo, Apple Safari 5.0.4 no tiene esta precaución, y corta el nombre del fichero, dejando la extensión del mismo fuera de la vista de la víctima. Una web maliciosa podría enviar un fichero con un nombre especialmente preparado para sacar partido de este fallo, haciendo simular al usuario que se está descargando un vídeo, cuando realmente es un troyano. Para eso, basta con que tenga una longitud específica y utilice un truco de doble extensión, tal y como se puede ver en la siguiente captura de la respuesta del servidor.

Figura 2: Nombre largo con doble extensión, simulando ser un vídeo

El usuario de Apple Safari 5.0.4 solo verá una parte del nombre y podrá ser engañado al parecer que la extensión es AVI. Safari solamente muestra unos pequeños puntos suspensivos indicando que el nombre es más largo, pero es fácil que el usuario sea engañado.

Figura 3: Cuadro de dialogo que verá el usuario en Apple Safari 5.0.4

Contramedidas

Aunque el estar informado de esta situación es una de las mejores contramedidas, no obstante, antes de descargar ficheros de Internet, se recomienda tomar especial cuidado del nombre y la extensión del archivo, evitar la ejecución inmediata desde el navegador y pasar el fichero por una solución antimalware. Para ello, es mejor descargar el fichero en el disco, después analizar las propiedades, donde ya se podría ver claramente el engaño, y por último pasarlo por una solución antimalware o directamente por Virus Total.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares