En el blog de Un informático en el lado del mal se ha publicado una curiosa característica de Apple Safari 5.0.4 que puede ayudar a los atacantes a engañar a un usuario para logra la ejecución del malware en el sistema mediante técnicas de ingeniería social. El problema se produce cuando una aplicación web entrega un nombre de fichero demasiado grande para ser mostrado en el cuadro de diálogo.
Figura 1: Doble extensión en Chrome |
Sin embargo, Apple Safari 5.0.4 no tiene esta precaución, y corta el nombre del fichero, dejando la extensión del mismo fuera de la vista de la víctima. Una web maliciosa podría enviar un fichero con un nombre especialmente preparado para sacar partido de este fallo, haciendo simular al usuario que se está descargando un vídeo, cuando realmente es un troyano. Para eso, basta con que tenga una longitud específica y utilice un truco de doble extensión, tal y como se puede ver en la siguiente captura de la respuesta del servidor.
Figura 2: Nombre largo con doble extensión, simulando ser un vídeo |
El usuario de Apple Safari 5.0.4 solo verá una parte del nombre y podrá ser engañado al parecer que la extensión es AVI. Safari solamente muestra unos pequeños puntos suspensivos indicando que el nombre es más largo, pero es fácil que el usuario sea engañado.
Figura 3: Cuadro de dialogo que verá el usuario en Apple Safari 5.0.4 |
Contramedidas
Aunque el estar informado de esta situación es una de las mejores contramedidas, no obstante, antes de descargar ficheros de Internet, se recomienda tomar especial cuidado del nombre y la extensión del archivo, evitar la ejecución inmediata desde el navegador y pasar el fichero por una solución antimalware. Para ello, es mejor descargar el fichero en el disco, después analizar las propiedades, donde ya se podría ver claramente el engaño, y por último pasarlo por una solución antimalware o directamente por Virus Total.
No hay comentarios:
Publicar un comentario