URL maliciosas en los iPhone


De ese modo, los hackers pueden engañar a los usuarios y hacerles creer que están navegando por páginas legítimas.





Los ladrones de identidades pueden esconder URL en la pantalla del iPhone, engañando así a sus usuarios y haciéndoles creer que se encuentran en páginas seguras. Así lo ha avisado un investigador de seguridad, Nitesh Dhanjani, que ha publicado dos post demostrando cómo los criminales pueden esconder fácilmente la verdadera URL de una página a los usuarios. Lo consiguen mediante la creación de una aplicación web maliciosa.

En una prueba de concepto, Dhanjani ha mostrado cómo aplicaciones web legítimas como la de la banca móvil del Banco de América oculta la barra de direcciones de Safari una vez que ha renderizado la página. Este investigador especula en torno a la posibilidad de que los desarrolladores utilicen esta práctica para sacar el máximo partido al espacio limitado de las pantallas de dispositivos móviles como el iPhone.

“Hay que tener en cuenta que en el iPhone, esto sólo ocurre en páginas que siguen directivas en HTML para presentarse como páginas móviles”, ha explicado Dhanjani en su blog personal y también en una entrada del blog del Instituto SANS.

Los ladrones de identidad y los estafadores podrían aplicar la misma práctica para ocultar la URL de una página falsa que hayan creado y después engañar a los usuarios para que la visiten.

La capacidad de esconder la barra de direcciones en iOS, el sistema operativo móvil de Apple que trabajan en el iPhone es un tema de diseño, ha comentado Dhanjani, quien también ha matizado que ha informado del problema a Apple. “Contacté con Apple para comunicarles este problema y me dijeron que son conscientes de sus consecuencias, pero no saben cuándo ni cómo harán frente al tema”.

“Teniendo en cuenta la cantidad de intentos de phishing y malware que nos acechan estos días, espero que Apple decida no permitir que aplicaciones Web arbitrarias desplacen la barra de direcciones real de Safari fuera de la vista. Quizás Apple debería considerar la posibilidad de mostrar o desplazar el actual nombre de dominio justo debajo de la barra de estado. Colocando el actual contexto de dominio en un lugar que es inalterable por el contenido Web, puede proporcionar a los usuarios unas indicaciones similares a las que aportan navegadores como IE o Chrome”.

Dhanjani es conocido como el investigador de seguridad que descubrió la vulnerabilidad de Apple Safari en 2008 y que podía ser explotada con ataques “carpet bomb”, un término que él usaba porque los ataques llenaban el escritorio Windows con archivos de malware.

Aunque inicialmente Apple dijo a Dhanjani que no podría considerar el problema como un asunto de seguridad, más tarde publicó un parche detrás de otro, incluyendo a Microsoft y dijo a los usuarios que dejaran de utilizar Safari.

FUENTE:
Por Paula Bardera
http://www.idg.es/



Otras noticias de interés:

Los certificados SSL, en entredicho
La Electronic Frontier Foundation ha mostrado que los certificados SSL, utilizados en el protocolo HTTPS para conexiones web seguras, están siendo utilizados sin verificación. Esta empresa ha publicado una investigación que muestra que el sistema ...
Informe forense de INTERPOL sobre los ordenadores y equipos informáticos de las FARC decomisados por Colombia
Declaración de prensa del Secretario General de INTERPOL, Ronald Noble: ...
Utilidad para vigilar el uso del Modo Protegido de IE
El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a C...
Microsoft publicará siete boletines de seguridad el próximo martes
En esta ocasión serán siete boletines que afectan a Internet Explorer, .NET Framework, Visual Studio, Silverlight, Lync, Microsoft Windows, Microsoft Office y Microsoft Security Software con diferentes impactos....
Armó una botnet llamada - Carna - con fines científicos
Un investigador anónimo realizó una especie de censo con todas las direcciones IP existentes en Internet y publicó los resultados, creando una base de datos de equipos según su facilidad para vulnerarlas....
Ruptura del cifrado Enigma de cuatro rotores
Sin duda, es la noticia de moda en el mundo de la criptografía. Recientemente, un equipo de investigación, apoyándose en computación distribuida, ha conseguido descifrar un mensaje de un total de tres que llevan más de 60 años en ...
Microsoft adquirirá un nuevo teclado para PC
El gigante Microsoft adquirirá un revolucionario teclado de ordenador, diseñado por el yugoslavo Zarko Radosavljevic, y que cuenta con un programa especial que permite adaptarlo a diferentes lenguajes en el mundo. ...
Investigadores del MIT bucean en los datos de usuario de Gmail
Un nuevo programa visual de datos del MIT Media Lab, llamado Inmersión, invita a los usuarios a entregar su dirección y contraseña en Gmail para conocer cómo utilizan realmente el sistema de mensajería de Google. ...
101 cosas que el navegador Mozilla puede hacer que IE no puede
La siguiente es una lista de las 101 cosas que uno puede hacer con el navegador Mozilla y que no se pueden hacer con IE. Esta lista no incluye cosas que requieren cambiar manualmente la configuración del registro de Windows o realizar alguna otra ...
Kerozene (Hackemate) BUGS en Terra y Wannado emails
ATENCIÓN: hoy a la tarde descubrí bugs en los emails de Terra Brasil (Terra.com.br) y Wanadoo (Wanadoo.es) que hacen posible el acceso a la casilla de cualquier usuario mediante un método no muy complicado. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • iphone
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • maliciosas
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • url
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra