Multiples navegadores para móviles son vulnerables a ataques de address bar spoofing

Una vulnerabilidad de «Address bar spoofing» (suplantación de la barra de direcciones, en español) se refiere a un bug en un navegador web que permite a los sitios web maliciosos modificar una URL real y mostrar una falsa en su lugar, usado usualmente contra sitios legítimos.

Las vulnerabilidades de address bar spoofing han existido desde los primeros días de la web, pero nunca han sido tan peligrosas como lo son hoy.

Si bien en los navegadores de escritorio hay varias señales y características de seguridad que podrían usarse para detectar cuando un código malicioso altera la barra de direcciones para mostrar una URL falsa, esto no es posible en los navegadores móviles donde el tamaño de la pantalla es primordial y muchas de las funciones de seguridad faltan las funciones que se encuentran en los navegadores de escritorio.

Dado que la barra de direcciones es la única y última línea de defensa en los navegadores móviles, las vulnerabilidades de suplantación de la barra de direcciones son mucho más peligrosas en los teléfonos inteligentes y otros dispositivos móviles.

Diez vulnerabilidades encontradas en siete navegadores

En un reporte publicado hoy por la firma de ciberseguridad Rapid7, la compañía dijo que trabajó con un investigador de seguridad Pakistaní Rafay Baloch para descubrir diez nuevas vulnerabilidades de address bar spoofing en siete apps de navegadores móviles.

Los navegadores impactados incluyen grandes nombres como Apple Safari, Opera Touch, y Opera Mini, pero tambien aplicaciones de nicho como Bolt, RITS, UC Browser y Yandex Browser.

Los problemas se descubrieron a principios de este año y se informaron a los fabricantes de navegadores en agosto. Los grandes proveedores solucionaron los problemas de inmediato, mientras que los proveedores más pequeños ni siquiera se molestaron en responder a los investigadores, dejando sus navegadores vulnerables a los ataques.

Fuente: Rapid7

La explotación de estas vulnerabilidades se reduce a «Travesuras de Javascript»

Dijo el director de investigación de Rapid7, Tod Beardsley

El ejecutivo de Rapid7 dice que al jugar con el tiempo entre cuando se carga la página y cuando el navegador tiene la oportunidad de actualizar la URL de la barra de direcciones, un sitio malicioso podría obligar al navegador a mostrar la dirección incorrecta.

Un desglose más detallado de las «travesuras» técnicas de cada error está disponible aquí, como lo detalla Baloch.

Para explotar esta vulnerabilidad se requiere (1) tener un browser desactualizado y (2) un atacante capaz de atraer a los usuarios a sitios maliciosos.

Beardsley cree que los ataques son fáciles de montar y recomienda que los usuarios actualicen sus navegadores lo antes posible o pasen a navegadores que no se vean afectados por estos errores.

Fuente: ZDnet.com

Comments are closed.