Menú principal

sábado, 23 de mayo de 2015

Address Bar Spoofing bug en Apple Safari {OS X e iOS}

Se ha publicado un bug que permite hacer Address Bar Spoofing en todas las versiones de Apple Safari para iOS y para OS X aún en las últimas versiones. El bug se puede probar en la página web de Deusen, donde han publicado una prueba de concepto que permite comprobar como el bug funciona. Entra en la web con una versión de Apple Safari y dale a Go, verás que navegas a una web que se supone que es la de Dailymail pero no lo es.

Figura 1: La dirección indica una web, pero se ve otra

El truco, o el bug, consiste en pedir una recarga constante de la web que se quiere spoofear, mientras que se muestra la web que suplanta el sitio. Lo que aprovecha este ataque es que Apple Safari primero actualiza la dirección en la barra y luego intenta cargar el contenido.

Figura 2: El código fuente del ataque

Al hacerse una petición muy rápida de volver a navegar a otra URL del mismo dominio, lo que sucede es que comienza otra vez el proceso de carga. El resultado es que se ve la dirección a la que se está intentando navegar, al mismo tiempo que se ve la web falsa.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares