Menú principal

viernes, 13 de noviembre de 2015

La WebView de Twitter para iOS nos puede confundir

Hace tiempo que hablamos sobre como las WebView pueden ser un caramelito para el phishing en los dispositivos móviles. La verdad es que siempre nos han llamado la atención los trucos que los atacantes pueden hacer para hacer ver al usuario que se encuentra visitando un sitio web que realmente no está visitando. Además, la inseguridad con la que aparecieron la WebView era clara y se reflejaba en que las principales aplicaciones de correo y de redes sociales no mostraban el dominio al que accedías, simplificando la vida del atacante. 

Allá por el año 2010 hablámos de como iOS ponía en bandeja el phishing en los dispositivos móviles debido a fallos en el diseño. Lo que quizá llame más la atención es que en 2013 seguimos hablando de esto, aunque es cierto que algunas aplicaciones empezaron a poner soluciones a estos detalles del diseño. La acción al final es sencilla, recibimos un enlace a través de por ejemplo nuestra aplicación de Twitter, dicho enlace se encuentra acortado y confiamos en que lo que nos muestra la WebView es real. En el caso de Twitter se cambió lo que se mostraba en el título de la vista, indicando el dominio al que se accede. Esto ayuda a que el usuario sepa si dónde accede es real o no, aunque no al 100%

Figura 1: Dominio entrecortado por ser demasiado largo

En función de como pongamos la vista del dispositivo podremos ver el dominio completo o no. En el caso de la imagen 1 podemos ver como se entrecorta, dejándonos ver parte del final del dominio y el comienzo. Esto puede dar pie a que un atacante compre un dominio que acabe en dominios como Twitter o Facebook y lo tengo anexado a algún nombre como securelogin o algo similar. Es decir, si compramos el dominio secureloginblablablablablablablablafacebook.com podríamos hacer que encaje y que visualmente sea algo no tan extraño para un usuario. Luego un atacante coloca un sitio web falso para loguearse en Facebook, que sea un fake y ya tiene la trampa. 

Figura 2: Descubriendo la longitud y el dominio real

Por suerte, si el usuario tumba el dispositivo, la vista apaisada tiene la posibilidad de mostrarnos más cantidad de caracteres, por lo que cualquier usuario podría leer el dominio real, tal y como se puede ver en la imagen. Es cierto, que esto se puede descubrir fácilmente, pero tenemos que tener en cuenta que hay muchos usuarios que  no se fijan en estos detalles y que pueden caer en la trampa de cualquier ciberdelincuente.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares