Esta semana pasada se han publicado las diapositivas de las conferencias SyScan360. Entre la lista de charlas nos hemos parado a ver una que estaba centrada en la seguridad de los navegadores de Internet para iOS, titulada "Mobile Browser Security: iOS" y que se centra en analizar todos los fallos de seguridad de distintos productos y cómo explotarlos en diferentes esquemas de ataque, que van desde el Phishing y el Address Bar Spoofing hasta el Universal Cross-Site Scripting. Eso sí, no solo se centra en Mobile Safari, sino en los más de 70 navegadores que a día de hoy es posible descargarse desde AppStore. Sí, a nosotros también nos han parecido demasiados.
Al principio pensábamos que no daría para mucho, y que la gran mayoría de los trucos estarían ya tratados en el libro de Hacking iOS: iPhone & iPad, donde en su momento le dedicamos un capítulo entero a estos ataques. Lo cierto es que además de los que allí se cuentan y explican en detalle, han añadido alguno más a la lista que hay que tener presente. Aquí os dejamos algunos de ellos.
El truco del phishing por tiempo de error
Este truco, que afecta a Mobile Safari nos ha gustado especialmente. En él se habla de aprovechar que el tiempo que tarda el navegador Mobile Safari for iOS en generar un Time-Out en una página web va desde 1 minuto hasta 10 dependiendo de las diferentes versiones del navegador. La gracia está en que en el momento en que se invoca se cambia la barra de navegación con el nuevo sitio que se llama. Para ello, el truco es enviar a la víctima a una página de Phishing y ejecutar un código como el que se ve a continuación.
Figura 1: Un Phishing abusando del time-out de carga en Mobile Safari |
En la parte del Document.Write se debe pintar la página de Phishing, y al invocar la web que se quiere suplantar por un puerto que no está disponible, se comenzará a intentar cargar, cambiando la barra de dirección, pero sin modificar el contenido de la página hasta que se produzca el Time-out.
Figura 2: Efecto de phishing que se produce aprovechándose de este truco |
Mientras tanto la víctima verá la página con el Phishing, y la barra de dirección con el dominio real. Eso sí, saldrá la barra azul de carga intentando explicar que el sitio está intentando cargar algo, pero durante ese tiempo, la víctima puede caer en el engaño.
El title como barra de dirección
Un truco simple que funciona en muchos navegadores que ocultan la barra de dirección es tan sencillo como poner en el title la URL del sitio al que se quiere hacer Phishing, obteniendo un efecto visual muy resultón en todo el proceso.
Figura 3: Efecto de poner en el title una URL de phishing |
En la presentación se analizan un montón de CVEs en los diferentes navegadores, y algunos de ellos de tipo Universal Cross-Site Scripting, es decir, que afectan al software del cliente y permiten acceder a datos de todos los dominios que estén cargados.
Figura 4: Ejemplos de Universal Cross-Site Scripting que se detallan en la presentación |
Los creadores de esta conferencia mantienen un blog en el que publican periódicamente fallos de seguridad en los diferentes navegadores de dispositivos móviles que merece la pena que tengas en tu RSS, se llama Browser Shredders.
No hay comentarios:
Publicar un comentario