David Vieria-Kurz de MayorSecurity ha descubierto una nueva forma de suplantar la barra de direcciones de Safari en iOS 5.1, el Sistema Operativo en sus terminales móviles.
El fallo, con un riesgo de
seguridad moderado, se encuentra en el manejador de URLs cuando se utiliza la
función JavaScript "window.open"
de Apple Webkit/534.46. Este fallo podría ser aprovechado por un atacante
remoto para suplantar la barra de direcciones y así engañar al usuario
mostrando como dirección de la página actual una distinta a la realmente
visitada. En resumen, para dar realismo a potenciales casos de phishing.
Vieria-Kurz ha publicado una
prueba de concepto con la que se demuestra este fallo y cualquier. Cualquier
usuario que visite con su terminal http://www.majorsecurity.net/safari-514-ios51-advisory.php,verá que la dirección que
realmente aparece en el navegador Safari es www.apple.com.
No existe parche disponible, por
lo que se recomienda no visitar páginas importantes con Safari en iOS a través
de un enlace que no sea de confianza. Por supuesto, actualizar tan pronto como
vendedor publique el parche esté disponible.
Apple ya se enfrentó a un
problema muy parecido en diciembre de 2010.
Más información:
Reporte oficial de MajorSecurity
Apple Safari en iOS 5.1 vulnerable a Address
Bar Spoofing
Peligro de phishing en iPhone
Jose Ignacio Palacios
Ortega
Acabo de comprobar la URL y a mi no me pasa en un iPhone 4S con iOS 5.1 ¿Habeis comprobado la vulnerabilidad?
ResponderEliminarYo lo he probado iPad2 con iOS 5.1 y sí funciona, pero la demo sólo está en http.
ResponderEliminarSi funcionase en https sería más problemático, pero en http es sólo una anécdota.
RAFAEL