La aplicación de Twitter para iOS era un caramelo para el phishing, ya que cuando un usuario recibe un tweet con un enlace acortado y éste lo abre se dispone de una vista web embebida en la aplicación que provocaba un Address Bar Spoofing. Esta vista web no mostraba la URL a la que el usuario realmente se estaba conectando, provocando que la realización de un phishing fuera rápido y sencillo, por la naturaleza de Twitter.
La última versión de Twitter para iOS solucionaba este bug, ya que pintaba en el borde superior de la vista embebida la URL a la que el usuario se estaba conectando, tal y como se puede visualizar en la siguiente imagen:
La última versión de Twitter para iOS solucionaba este bug, ya que pintaba en el borde superior de la vista embebida la URL a la que el usuario se estaba conectando, tal y como se puede visualizar en la siguiente imagen:
Figura 1: Phishing en Twitter para iOS |
Este sitio web no es el login real de Twitter Mobile, aunque realmente lo parece. Como se puede ver en las últimas versiones de la aplicación la URL a la que se conecta el dispositivo móvil aparece en el marco de la aplicación embebida. Al visualizar esto el usuario desconfiará y realmente no introducirá ningún dato en los campos requeridos. Además, la dirección IP informa rápidamente de que el culpable está en nuestra red, por lo que tenemos pillado al susodicho.
El arreglo solo fue a medias
En la imagen siguiente podemos observar que si el usuario o víctima tiene el dispositivo iOS tumbado la aplicación seguirá sin mostrar su dirección URL en el marco de la aplicación. ¿Fail? Eso nos parece, ¿se les habrá olvidado introducir en este tipo de vista algo tan importante como la dirección URL a la que se conecta la aplicación?
Figura 2: Aplicación Twitter para iOS tumbada |
Las aplicaciones que tienen vistas web embebidas son realmente peligrosas en el día a día, sobretodo si otros usuarios pueden enviarnos links desde ella y conseguir que visualicemos sitios web. Por eso hay que tener cuidado a lo que se accede y siempre tener en cuenta a donde se está accediendo.
jajaja fallo de concepto en la programación, estos de twitter no entienden o no quieren entender de dichos peligros
ResponderEliminar