--------------------------------------------------
David Vieria-Kurz de MayorSecurity ha descubierto una nueva forma de
suplantar la barra de direcciones de Safari en iOS 5.1, el Sistema Operativo
en sus terminales móviles.
El fallo, con un riesgo de seguridad moderado, se encuentra en el manejador
de URLs cuando se utiliza la función JavaScript "window.open"
de Apple Webkit/534.46. Este fallo podría ser aprovechado por un atacante
remoto para suplantar la barra de direcciones y así engañar al usuario
mostrando como dirección de la página actual una distinta a la realmente
visitada. En resumen, para dar realismo a potenciales casos de phishing.
Vieria-Kurz ha publicado una prueba de concepto con la que se demuestra este
fallo y cualquier. Cualquier usuario que visite con su terminal
http://www.majorsecurity.net/safari-514-ios51-advisory.php,
verá que la dirección que realmente aparece en el navegador Safari es
www.apple.com.
http://1.bp.blogspot.com/-Fk33eiz4sGw/T3C65UITdPI/AAAAAAAAAY0/wq7FF10331k/s1
600/phishing_iphone.png
No existe parche disponible, por lo que se recomienda no visitar páginas
importantes con Safari en iOS a través de un enlace que no sea de confianza.
Por supuesto, actualizar tan pronto como vendedor publique el parche esté
disponible.
Apple ya se enfrentó a un problema muy parecido en diciembre de 2010.
No hay comentarios:
Publicar un comentario
muchas gracias por los comentarios