URL maliciosas en los iPhone


De ese modo, los hackers pueden engañar a los usuarios y hacerles creer que están navegando por páginas legítimas.





Los ladrones de identidades pueden esconder URL en la pantalla del iPhone, engañando así a sus usuarios y haciéndoles creer que se encuentran en páginas seguras. Así lo ha avisado un investigador de seguridad, Nitesh Dhanjani, que ha publicado dos post demostrando cómo los criminales pueden esconder fácilmente la verdadera URL de una página a los usuarios. Lo consiguen mediante la creación de una aplicación web maliciosa.

En una prueba de concepto, Dhanjani ha mostrado cómo aplicaciones web legítimas como la de la banca móvil del Banco de América oculta la barra de direcciones de Safari una vez que ha renderizado la página. Este investigador especula en torno a la posibilidad de que los desarrolladores utilicen esta práctica para sacar el máximo partido al espacio limitado de las pantallas de dispositivos móviles como el iPhone.

“Hay que tener en cuenta que en el iPhone, esto sólo ocurre en páginas que siguen directivas en HTML para presentarse como páginas móviles”, ha explicado Dhanjani en su blog personal y también en una entrada del blog del Instituto SANS.

Los ladrones de identidad y los estafadores podrían aplicar la misma práctica para ocultar la URL de una página falsa que hayan creado y después engañar a los usuarios para que la visiten.

La capacidad de esconder la barra de direcciones en iOS, el sistema operativo móvil de Apple que trabajan en el iPhone es un tema de diseño, ha comentado Dhanjani, quien también ha matizado que ha informado del problema a Apple. “Contacté con Apple para comunicarles este problema y me dijeron que son conscientes de sus consecuencias, pero no saben cuándo ni cómo harán frente al tema”.

“Teniendo en cuenta la cantidad de intentos de phishing y malware que nos acechan estos días, espero que Apple decida no permitir que aplicaciones Web arbitrarias desplacen la barra de direcciones real de Safari fuera de la vista. Quizás Apple debería considerar la posibilidad de mostrar o desplazar el actual nombre de dominio justo debajo de la barra de estado. Colocando el actual contexto de dominio en un lugar que es inalterable por el contenido Web, puede proporcionar a los usuarios unas indicaciones similares a las que aportan navegadores como IE o Chrome”.

Dhanjani es conocido como el investigador de seguridad que descubrió la vulnerabilidad de Apple Safari en 2008 y que podía ser explotada con ataques “carpet bomb”, un término que él usaba porque los ataques llenaban el escritorio Windows con archivos de malware.

Aunque inicialmente Apple dijo a Dhanjani que no podría considerar el problema como un asunto de seguridad, más tarde publicó un parche detrás de otro, incluyendo a Microsoft y dijo a los usuarios que dejaran de utilizar Safari.

FUENTE:
Por Paula Bardera
http://www.idg.es/



Otras noticias de interés:

Zalewski despierta: Firefox, también vulnerable
Buf. Tardó en caer menos de lo que esperaba. Se ve que este hombre apenas duerme. Pues nada; que el último bug de Explorer arrastra con él a Firefox, vulnerable también......
Crece temor ante nuevos ataques del Malware Zeus
Los expertos de seguridad afirman que el código fuente de Zeus está de nuevo en circulación, por lo que se espera que los ataques de este malware empiecen pronto. El código fuente del malware Zeus está de nuevo en circulación y se espera una nu...
Nueva versión Mozilla 1.6
La gente de Mozilla ha sacado una nueva versión de este extraordinario browser....
Desbordamiento de búfer en MS Content Management Server
Se han descubierto tres vulnerabilidades en Microsoft Content Management Server, la más seria de ellas puede permitir a un atacante la ejecución de código en el sistema afectado....
Ciberdelincuentes ponen atención al protocolo IPv6
Expertos están viendo como el cambio al protocolo IPv6, que ofrece la conocida autoconfiguración stateless, ha aumentado el riesgo de las webs a ser el blanco de los cibercriminales....
Desbordamiento de búfer en Microsoft Exchange 5.5
Existe una vulnerabilidad de seguridad en Microsoft Exchange 5.5 debido a un desbordamiento de búfer en el código de Internet Mail Connector (IMC) al generar la respuesta al comando EHLO....
TuxInfo #24 Publicada
Una nueva entrega de Tuxinfo ha sido publicada. Esta revista se ha convertido en un referente para muchos usuarios que día a día van aprendiendo de sus noticias, trucos, tips y recomendaciones. Te invito a apoyar Tuxinfo....
Denegación de servicio en Windows Plug and Play
Se ha reportado una nueva vulnerabilidad en la implementación del servicio de Microsoft Windows Plug and Play (PnP). La misma puede provocar una denegación de servicio (DoS), ocasionando que el sistema deje de responder....
Chrome estrena opciones de cifrado rápido
Google ha empezado a ofrecer una característica llamada False Start en su navegador Chrome que acelera las comunicaciones seguras....
Otro CAPTCHA que cae, el de Google ha sido descifrado
Ayer fue el CAPTCHA de Microsoft con su renovado servicio de autentificación el que cayó a manos de los spammers, y hoy es el turno de Google. Gracias a una aplicación, son capaces de crear nuevas cuentas automáticamente para ser usadas como fuen...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • iphone
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • maliciosas
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • url
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra