7 navegadores móviles vulnerables a la suplantación de la barra de direcciones



Las fallas permiten a los atacantes manipular las URL que los usuarios ven en sus dispositivos móviles, dice Quick7

El proveedor de seguridad Quick7, en colaboración con el investigador independiente Rafay Baloch, reveló esta semana detalles sobre nuevas vulnerabilidades en siete navegadores móviles, incluidos Safari y Opera, que permiten a los atacantes falsificar la información que se muestra en la barra de direcciones del navegador.

Las vulnerabilidades son los últimos ejemplos de una debilidad de seguridad común en el program donde se puede engañar a la interfaz de usuario para que muestre información errónea o para que parezca que la información proviene de una fuente confiable. Los phishers se han aprovechado habitualmente del problema de la tergiversación de la interfaz de usuario para engañar a los usuarios para que naveguen a sitios maliciosos o para engañarlos para que piensen que están en un sitio confiable cuando, de hecho, no lo están.

«Los problemas identificados por Rafay Baloch&#39s investigación son problemas únicos por navegador, pero todos caen en la categoría de vulnerabilidad typical descrita por CWE-451 – &#39Tergiversación de información crítica en la interfaz de usuario&#39 «, dice Tod Beardsley, director de investigación de Rapid7.

Estas vulnerabilidades permiten que un atacante controle tanto el contenido de un sitio world-wide-web como la fuente aparente del sitio net, lo que puede dar lugar a páginas web de aspecto muy convincente pero malicioso. Según Beardsley, las nuevas vulnerabilidades que descubrió Baloch esencialmente brindan a los atacantes una forma de mostrar contenido falso cuando un navegador móvil actualiza la barra de direcciones.

«La explotación se minimize a &#39travesuras de JavaScript&#39», dijo Beardsley en un website esta semana. «Al jugar con el tiempo entre cargas de página y cuando el navegador tiene la oportunidad de actualizar la barra de direcciones, un atacante puede hacer que una ventana emergente parezca provenir de un sitio net arbitrario o puede mostrar contenido en la ventana del navegador que aparece falsamente venir de un sitio website arbitrario «.

En todos los casos, un usuario móvil tendría que ser atraído a un sitio world wide web controlado por un atacante, dijo.

Además de Safari y Opera, los otros navegadores móviles afectados incluyen los de Yandex, UCWeb y Elevate IT Methods. El navegador UC de UCWeb tiene más de 500 millones de descargas, mientras que el navegador Yandex tiene más de 100 millones, según Beardsley. Hasta ahora, solo Apple y Opera han abordado las vulnerabilidades en sus navegadores después de ser notificados del problema en agosto.

Nuevo giro sobre el problema anterior
La suplantación de direcciones y otra manipulación de información no es nada nuevo. Pero detectar el engaño en un navegador móvil puede ser considerablemente más difícil que en un navegador de escritorio.

Debido a los tamaños de pantalla relativamente limitados disponibles en la mayoría de los teléfonos inteligentes modernos, los fabricantes de navegadores tienen poco espacio para introducir indicadores de seguridad que advierten a los usuarios cuando algo podría estar mal. Como resultado, la barra de direcciones en un navegador móvil es a menudo la forma principal de validar la fuente de una página internet o un contenido en individual. La mayoría de los proveedores de navegadores han reconocido esto y han implementado controles para garantizar que lo que se muestra en la pantalla esté inexorablemente vinculado al origen de esos datos, dice Beardsley.

Hank Schless, gerente senior de soluciones de seguridad del proveedor de seguridad móvil Lookout, describe la suplantación de URL como una de las formas más comunes en que los atacantes engañan a las personas para que hagan clic en un enlace de phishing, especialmente en dispositivos móviles. Como ejemplo, señala la rapidez con la que los usuarios pueden hacer clic en los enlaces para verificar la información de seguimiento o las otras notificaciones que pueden recibir cuando compran algo en línea. Debido a que la pantalla es más pequeña, es difícil identificar una URL falsificada que tiene pequeños cambios, como un acento agregado o un carácter especial en una letra de la dirección.

Brandon Hoffman, CISO de Netenrich, dice que las nuevas vulnerabilidades involucran una vieja técnica que está generando un nuevo interés debido a las limitaciones de los navegadores móviles.

«Estas vulnerabilidades no son realmente tan diferentes de otras vulnerabilidades con las que los usuarios han estado lidiando en sus escritorios», dice.

La única razón por la que son interesantes es porque los ataques que aprovechan estos problemas serían más fáciles de ocultar en un dispositivo móvil, agrega Hoffman.

«Si las personas continúan yendo a los sitios que les gustan dentro de las aplicaciones adecuadas y utilizando las URL correctas, entonces no necesitan preocuparse demasiado», dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic