Un address bar spoofing de libro en Twitter para iPhone
Me sorprende haber leído tan poco sobre este tema, así que voy a dedicarle una entrada, porque es uno de los trucos más usado para robar las cuentas de Twitter a los usuarios menos avisados en la red social de los 140 caracteres, y que fue uno de los 10 ejemplos que os conté en "10 formas de robarle la agenda de contactos a Pipi"
Address Bar Spoofing es una vulnerabilidad tipificada que se produce cuando la visualización de una página web oculta la dirección URL de donde está, abriéndose la ventana a los ataques de phishing. Esto es así porque el usuario que visualiza la página no tiene forma de averiguar si está en el sitio real o no y es fácil para los atacantes solicitar credenciales de sitios en los que confía la víctima.
En los navegadores hemos visto a lo lardo de la historia miles de casos de malware que superponían una imagen sobre la barra, o abrían un iframe a pantalla completa pintando una barra que simulaba ser de un banco, etcétera. De hecho, en iOS para iPhone tuvimos una vulnerabilidad de address bar spoofing que dio mucho que hablar, y en la versión iOS 5.1 apareció otra en Apple Mobile Safari para iOS que fue parcheada en el iOS 5.1.1.
Es por esto que me llama la atención que en Twitter para iPhone, cuando se muestra el contenido enviado en un enlace acortado, la forma natural de hacerlo sea ocultando la barra de navegación, dejando como única referencia visual una porción pequeña del título.
En cualquier ataque de robo de cuentas es una tentación aprovecharse de esta debilidad. Para un atacante es tan sencillo como crear una supuesta página de login de Gmail, Twitter, Facebook, o lo que sea, y enviar un enlace a la víctima diciendo algo como: "Flipa lo que han publicado en Facebook", o ·"Revista este tweet que te están poniendo fino filipino".
Figura 2: Visualización de una web en Twitter para iOS |
En cualquier ataque de robo de cuentas es una tentación aprovecharse de esta debilidad. Para un atacante es tan sencillo como crear una supuesta página de login de Gmail, Twitter, Facebook, o lo que sea, y enviar un enlace a la víctima diciendo algo como: "Flipa lo que han publicado en Facebook", o ·"Revista este tweet que te están poniendo fino filipino".
Cuando la víctima pulsa en el enlace dentro de Twitter para iPhone, el atacante va a mostrar una supuesta página de inicio de sesión en Twitter o Facebook para engañar al usuario, que gracias a este diseño propenso al address bar spoofing va a hacer que sea mucho más común que la víctima pique y acabe introduciendo las credenciales.
Curiosamente, en Twitter para iPad, debido a que el diseño es más espacioso, es posible ver la dirección en la que se está al abrir un enlace justo debajo del título. ¿No debería haber algo para verlo también en Twitter para iPhone? Para ver el enlace real, una de las formas es seleccionar la opción de enviar por correo y ver el link completo en el mensaje de e-mail.
Saludos Malignos!
Actualización: En la siguiente versión de Twitter para iPhone se ha arreglado este bug, tal y como puede verse en este artículo "Twitter para iPhone arregló el bug de Address Bar Spoofing".
Actualización: En la siguiente versión de Twitter para iPhone se ha arreglado este bug, tal y como puede verse en este artículo "Twitter para iPhone arregló el bug de Address Bar Spoofing".
9 comentarios:
Hombre, es algo que puedes solucionar tirando hacia abajo de la barra. De esa manera ves la dirección si tienes dudas de que estás siendo víctima de algo... No creo que sea tan difícil...
@anónimo. No, no se ve la URL así.
El phishing desde twiter es pan comido, y en general desde cualquier dispositivo móvil ya que la tendencia de los navegadores móviles es ocultar la url para aprovechar el espacio al hacer scroll (cosa en la que estoy de acuerdo, y no me importaría que lo hagan en los pc's, ya que a veces es mejor dejar de lado un poco la seguridad para dejar paso a la comodidad)
Saludos y por cierto, hay que cargar el móvil ;) xD
@Maligno, estás en lo erroneo, si que se ve. Lo estoy haciendo ahora mismo.
Entra en twitter desde tu safari y desde la barrita azul donde pone home dale hacia abajo... verás la barra tanto en Twitter como en cualquier otro site que use dicha propiedad de ocultacion de la barra.
@Anónimo, tienes es Twuitter para IPhone, no Twitter para Safari... Lee el post..
Saludos!
@Anónimo, te has quedado en el bug de iOS 5.1 que fue solucionado en iOS 5.1.1 y no en lo que comento de Twitter para iPhone....
Saludos!
@Maligno, OK ahora veo lo que querías decir.
Saludos!
También sucede con algunas aplicaciones para leer códigos QR que abren los enlaces en navegadores integrados y como la aplicación de Twitter no muestran la URL de la página abierta.
Y como todos sabemos a la gente le encanta leer los QR e ingresar sus datos cuando se los piden :)
@Maligno También sucede lo mismo para la aplicación oficial de gmail, sólo aparece el título de la web pero no la barra de direcciones.
Publicar un comentario