SEGURIDAD | Noticias | 01 DIC 2010

Los hackers pueden esconder URL maliciosas en los iPhones

De ese modo, los hackers pueden engañar a los usuarios y hacerles creer que están navegando por páginas legítimas.
Paula Bardera

Los ladrones de identidades pueden esconder URL en la pantalla del iPhone, engañando así a sus usuarios y haciéndoles creer que se encuentran en páginas seguras. Así lo ha avisado un investigador de seguridad, Nitesh Dhanjani, que ha publicado dos post demostrando cómo los criminales pueden esconder fácilmente la verdadera URL de una página a los usuarios. Lo consiguen mediante la creación de una aplicación web maliciosa.

En una prueba de concepto, Dhanjani ha mostrado cómo aplicaciones web legítimas como la de la banca móvil del Banco de América oculta la barra de direcciones de Safari una vez que ha renderizado la página. Este investigador especula en torno a la posibilidad de que los desarrolladores utilicen esta práctica para sacar el máximo partido al espacio limitado de las pantallas de dispositivos móviles como el iPhone.

“Hay que tener en cuenta que en el iPhone, esto sólo ocurre en páginas que siguen directivas en HTML para presentarse como páginas móviles”, ha explicado Dhanjani en su blog personal y también en una entrada del blog del Instituto SANS.

Los ladrones de identidad y los estafadores podrían aplicar la misma práctica para ocultar la URL de una página falsa que hayan creado y después engañar a los usuarios para que la visiten.

La capacidad de esconder la barra de direcciones en iOS, el sistema operativo móvil de Apple que trabajan en el iPhone es un tema de diseño, ha comentado Dhanjani, quien también ha matizado que ha informado del problema a Apple. “Contacté con Apple para comunicarles este problema y me dijeron que son conscientes de sus consecuencias, pero no saben cuándo ni cómo harán frente al tema”.

“Teniendo en cuenta la cantidad de intentos de phishing y malware que nos acechan estos días, espero que Apple decida no permitir que aplicaciones Web arbitrarias desplacen la barra de direcciones real de Safari fuera de la vista. Quizás Apple debería considerar la posibilidad de mostrar o desplazar el actual nombre de dominio justo debajo de la barra de estado. Colocando el actual contexto de dominio en un lugar que es inalterable por el contenido Web, puede proporcionar a los usuarios unas indicaciones similares a las que aportan navegadores como IE o Chrome”. 

Dhanjani es conocido como el investigador de seguridad que descubrió la vulnerabilidad de Apple Safari en 2008 y que podía ser explotada con ataques “carpet bomb”, un término que él usaba porque los ataques llenaban el escritorio Windows con archivos de malware.

Aunque inicialmente Apple dijo a Dhanjani que no podría considerar el problema como un asunto de seguridad, más tarde publicó un parche detrás de otro, incluyendo a Microsoft y dijo a los usuarios que dejaran de utilizar Safari.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información