Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/03/2012
Suplantación de la barra de direcciones de iOS 5.1
David Vieria-Kurz de MayorSecurity ha descubierto una nueva forma de suplantar la barra de direcciones de Safari en iOS 5.1, el Sistema Operativo en sus terminales móviles.El fallo, con un riesgo de seguridad moderado, se encuentra en el manejador de URLs cuando se utiliza la función JavaScript "window.open" de Apple Webkit/534.46. Este fallo podría ser aprovechado por un atacante remoto para suplantar la barra de direcciones y así engañar al usuario mostrando como dirección de la página actual una distinta a la realmente visitada. En resumen, para dar realismo a potenciales casos de phishing.
Vieria-Kurz ha publicado una prueba de concepto con la que se demuestra este fallo y cualquier. Cualquier usuario que visite con su terminal http://www.majorsecurity.net/safari-514-ios51-advisory.php,verá que la dirección que realmente aparece en el navegador Safari es www.apple.com.
Sistemas Afectados:Safari en iOS 5.1
Referencias:None
Solución:No existe parche disponible, por lo que se recomienda no visitar páginas importantes con Safari en iOS a través de un enlace que no sea de confianza. Por supuesto, actualizar tan pronto como vendedor publique el parche esté disponible.
Notas:Reporte oficial de MajorSecurity
http://www.majorsecurity.net/safari-514-ios51-advisory.php
Apple Safari en iOS 5.1 vulnerable a Address Bar Spoofing
http://www.seguridadapple.com/2012/03/apple-safari-en-ios-51-vulnerable.html
Peligro de phishing en iPhone
http://unaaldia.hispasec.com/2010/12/peligro-de-phishing-en-iphone.html