Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/03/2012
Suplantació de la barra d'adreces d’iOS 5.1
David Vieria-Kurz de MayorSecurity ha descobert una nova forma de suplantar la barra d'adreces de Safari en iOS 5.1, el Sistema Operatiu en els seus terminals mòbils.La fallada, amb un risc de seguretat moderat, es troba en el manejador d’URL quan s’utilitza la funció JavaScript "window.open" d’Apple Webkit/534.46. Esta fallada podria ser aprofitada per un atacant remot per a suplantar la barra d'adreces i així enganyar l’usuari, mostrant com a adreça de la pàgina actual una diferent de la realment visitada. En resum, per a donar realisme a potencials casos de phishing.
Vieria-Kurz ha publicat una prova de concepte amb què es demostra esta fallada i qualsevol usuari que visite amb el seu terminal http://www.majorsecurity.net/safari-514-ios51-advisory.php, veurà que l'adreça que realment apareix en el navegador Safari és www.apple.com.
Sistemes Afectats:Safari en iOS 5.1
Referències:None
Solució:No hi ha "patch" disponible, per la qual cosa es recomana no visitar pàgines importants amb Safari en iOS a través d’un enllaç que no siga de confiança. Per descomptat, actualitzar tan prompte com el venedor publique que el pedaç estiga disponible.
Notes:Report oficial de MajorSecurity
http://www.majorsecurity.net/safari-514-ios51-advisory.php
Apple Safari en iOS 5.1 vulnerable a Address Bar Spoofing
http://www.seguridadapple.com/2012/03/apple-safari-en-ios-51-vulnerable.html
Perill de phishing en iPhone
http://unaaldia.hispasec.com/2010/12/peligro-de-phishing-en-iphone.html