Menú principal

Mostrando entradas con la etiqueta Opera. Mostrar todas las entradas
Mostrando entradas con la etiqueta Opera. Mostrar todas las entradas

viernes, 28 de abril de 2017

Homografía en los navegadores: Ésta no es la página de Apple que estabas buscando

Si normalmente usas Chrome, Firefox u Opera para visitar páginas web deberíais tener cuidado debido a una vulnerabilidad capaz de engañar hasta a los usuarios más listos para que confíen en páginas no legítimas. En estas páginas es común que se nos solicite descargar algún software malicioso camuflado en un programa que podría sernos útil o ingresar nuestros credenciales o datos bancarios. El Phishing se ha convertido en una práctica habitual entre los ciberdelincuentes y desde Seguridad Apple os recordamos la importancia de los dobles factores de autenticación ya que en casos de robo de credenciales los atacantes no podran entrar en nuestras cuentas.

La vulnerabilidad mencionada anteriormente - que no es nueva y se conoce desde hace ya unos años - se basa en la forma en la que los navegadores más utilizados muestran algunos caracteres extraños en su barra de direcciones. Hasta que Google lanzó su versión 58 hace unos días Chrome mostraba en su barra de direcciones  "https://www.apple.com". cuando la dirección introducida era "https://www.xn--80ak6aa92e.com", lo mismo sucedía en Firefox y Opera. Como la imagen que os mostramos a continuación muestra, la página no guarda ninguna relación con Apple. Si este dominio fuera registrado por un atacante podría replicar la página oficial de Apple y usarlo para promover software malicioso o engañar a los visitantes para divulgar sus credenciales o información comprometida.

Figura 1: Como se muestra el dominio https://www.xn--80ak6aa92e.com en los navegadores.

Xudong Zhen, desarrollador de aplicaciones web y diseñador de la página de Apple ha explicado cómo es esto posible:

 Punycode hace posible registrar dominios que contienen caracteres extraños, funciona convirtiendo los dominios con este tipo de caracteres en otros con un formato alternativo que solo utiliza caracteres similares a los que aparecen en la tabla ASCII. 

 Desde la perspectiva de la seguridad, los dominios con Unycode pueden resultar bastante problemáticos porque algunos de los caracteres que usan son muy difíciles de distinguir de los de la tabla ASCII, como es el caso de la Cyrillic "а", la cual es casi idéntica a la a de la tabla ASCII dando lugar a posibles ataques homográficos. 

 Por desgracia para los usuarios de Chrome, Firefox y Opera los mecanismos de estos navegadores para prevenir estos ataques fallan si cada carácter es replicado por uno de un lenguaje raro. Visualmente los dos dominios son indistinguibles debido a la fuente usada por Chrome y Firefox haciendo imposible identificar si se trata de un sitio fraudulento con un análisis a simple vista.”
Figura 2: Barra de busqueda al introducir el dominio https://www.xn--80ak6aa92e.com .

Para prevenir estos ataques se recomienda a los usuarios de Chrome que instalen la versión 58 lo antes posible, los usuarios de Firefox también podrán prevenir este tipo de ataques poniendo about:config en su barra de búsqueda e ignorando la advertencia de seguridad, tras hacer esto deberán buscar "punycode" en el apartado de búsqueda y hacer doble clic donde pone "network.IDN_show_punycode" hasta que el valor false cambie a true. Esto hará que las URLs que busquemos aparezcan en su lenguaje original haciendo más fácil la identificación de páginas fraudulentas.
a las 7:34 0 comentarios
Etiquetas: , , , , , ,

miércoles, 29 de mayo de 2013

CVE 2012: Windows, OSX, SmartPhones y Navegadores

En el blog de Alma Oscura han hecho una curiosa comparativa con los CVE descubiertos durante el año 2012, es decir, los CVE-2012-XXXX en los sistemas operativos OS X 10.7 Lion y 10.8 Mountain Lion, Windows 7 y Windows 8, Android, iOS, Windows Phone y los distintos navegadores de internet más utilizados. Como siempre, estos datos no se pueden tomar como una medida absoluta de seguridad, pero sí que refleja eso, quién ha tenido más CVE que quién. Las tablas de la comparativa son:

Figura 1: Comparativa de CVE-2012-XXX entre Windows7/8 y OSX Lion/Moutain Lion

Figura 2: Comparativa de CVE-2012-XXX entre navegadores

Figura 3: Comparativa de CVE-2012-XXX entre sistemas operativos de smartphones

Según el autor de la comparativa, todas las cuentas se han hecho tomando las bases de datos de Secunia y el NIST, y no reflejan otros factores como la criticidad de las vulnerabilidades, el tiempo de exposición, o la facilidad de la solución, pero valen como una media de más para conocer más sobre la seguridad de las plataformas.
a las 7:08 0 comentarios
Etiquetas: , , , , , , , , , , , ,

martes, 16 de abril de 2013

Sólo Safari en OS X avisa del envío de passwords HTTP

El otro día se publicaba en Un informático en el lado del mal que Apple Safari e Internet Explorer eran los únicos que mostraban un aviso cuando se pretendía enviar en un iframe una contraseña HTTP, que podría ser utilizada en un esquema de clickjacking que enviara las contraseñas en la URL. En ese artículo, tanto Google Chrome como Mozilla Firefox no mostraban ninguna alerta de seguridad, mientas que Apple Safari sí que lo hacía.

Figura 1: Alerta de Apple Safari en URLs con passwords HTTP

Queríamos probar el último de los navegadores de Internet más populares en plataformas Mac OS X, por lo que hemos hecho la misma prueba en un Opera Web Browser 12.15 sobre OS X Mountain Lion 10.8.3. Para ello hemos creado el siguiente archivo HTML, en el que se envía por HTTP una contraseña al servidor web de Seguridad Apple.

Figura 2: iframe con URL usando password en HTTP

Tras abrir el navegador con el iframe, se puede ver que el sitio se carga perfectamente, y la credencial ha sido enviada por la URL, quedando el usuario y la contraseña expuesta sin conocimiento del usuario.

Figura 3: Opera Web Browser para OS X no alerta de nada

Por supuesto es solo una protección más que podría defender al usuario de ataques Client-Side, pero el único que la tiene en sistemas OS X es Apple Safari. Curioso.
a las 6:31 2 comentarios
Etiquetas: , , , , , ,

viernes, 5 de abril de 2013

Actualiza a Opera 12.15 pero no desde la Mac App Store

El popular Opera Browser ha actualizado su software a la versión 12.15 en las versiones para todos los sistemas operativos, en el que se han mejorado aspectos de seguridad. Sin embargo, como ya estamos acostumbrados por lo sucedido en otras ocasiones, la disponibilidad de esta nueva versión no está aún en la Mac App Store, donde está todavía la versión 12.14.

Figura 1: Opera Browser 12.14 en la Mac App Store

La primera mejora ha sido en implementación del algoritmo de cifrado RC4 - tocado de nuevo con la aparición de nuevas formas de atacarlo - por lo que Opera ha añadido protecciones extras para evitar el éxito de estos ataques. El otro parche se encuentra en la forma en la que Opera Browser aplica las restricciones de domain correctamente.

Con estas mejoras, esta nueva versión ha sido calificada como recomendada, es decir, en esta ocasión la actualización no es crítica, pero el que a los usuarios de la Mac App Store lleguen las actualizaciones de seguridad con retraso ha pasado ya varias veces antes con actualizaciones de seguridad críticas. Suponemos que esto se puede deber a que Opera sube después la actualización a la Mac App Store, o que en Apple se toman tiempo en la revisión. Sea como fuere, deberían mejorar este proceso.
a las 7:32 0 comentarios
Etiquetas: , , , , , , ,

jueves, 30 de agosto de 2012

{OSX/NetWeirdRC | Wirenet}: Troyano para OS X y Linux

La web de la compañía de antimalware Dr. Web ha publicado la información sobre un nuevo malware al que han bautizado como BackDoor.Wirenet.1 que ha llegado a su base de datos de muestras. Este troyano, una vez analizado, ha resultado ser un malware multiplataforma entre OS X y Linux, focalizado en el robo de contraseñas para enviarlas a un panel de control, usando AES (Advanced Encryption Standard) como sistema de cifrado en la comunicación.

El malware roba las contraseñas que son introducidas a través de los navegadores Opera, Firefox, Chrome y Chromium usando funciones de keylogging, además de robar las passwords almacenadas por programas como ThuderBird, SeaMonkey y Pidgin.

Figura 1: Sección de código para el cifrado con AES y envío de datos al C&C

No se tiene claro aún como se despliega este backdoor, pero una vez instalado, se copia en los directorios de usuario.
- Mac OS X: %home%/WIFIADAPT.app.app
- Linux: в ~/WIFIADAPT
Este malware parece ser el mismo que reportaba Intego, al que bautizaron como OSX/NetWeirdRC, y que fue descubierto vía Virus Total. El malware parece que está siendo vendido en Internet al precio de 60 USD, aunque se desconoce más sobre dónde ha podido ser utilizado. En las pruebas realizadas a esta otra muestra, el fichero se copiaba en /tmp/.lbOOjfsO y no parecía soportar la persistencia al reinicio.

Las muestras de malware que funcionan en sistemas Mac OS X ya no son una novedad, y tras ver la que tenemos hoy en día con el 0day de Java, es más que recomendable que tengas un sistema de antimalware con protección en tiempo real activado en tu Mac OS X. Hoy mismo ha reportado Intego, que por medio del bug CVE-2012-4381 se está desplegando una variedad de OSX/Tsunami, del que ya hablamos en Octubre del año pasado.
a las 7:33 0 comentarios
Etiquetas: , , , , , , , , , , , , , , ,
Suscribirse a: Entradas (Atom)

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares