A través del blog del investigador Nitesh Dhanjani, damos a conocer una prueba de concepto realizada en dispositivos iPhone de Apple, en el que se muestra que podemos ser víctimas de Phishing navegando por medio de Safari, que es el navegador predeterminado de estos dispositivos.
Actualmente, los navegadores más populares no permiten que un sitio web modifique el texto que se muestra en la barra de direcciones, ni tampoco ocultar la barra de direcciones por una simple razón, si ello estuviera permitido, una aplicación web maliciosa podría ocultar los distintos elementos de la página, como por ejemplo mostrar URL’s arbitrarias, engañando al usuario creyendo que está navegando por un sitio seguro cuando no es así.
El comportamiento de Safari en el iPhone es el siguiente: una vez introducimos la dirección web a la que queremos acceder y la página se carga, la parte que muestra la URL de la página desaparece al terminar de cargarse, a continuación podemos ver un vídeo de esta prueba de concepto:
Como podemos observar en la imagen mostrada a continuación, en la parte izquierda vemos lo que sería la página original del banco y en la derecha, una página falsa en la que se añadiría la barra de dirección como imagen para intentar engañar al usuario:
Si disponen de un iPhone, pueden comprobar los resultados utilizando este mismo ejemplo, accediendo al siguiente enlace: http://www.dhanjani.com/iphone-safari-ui-spoofing/
Desde el departamento técnico de ESET en Ontinet.com, recomendamos a los usuarios que dispongan de un iPhone que, mientras Apple estudia como corregir este comportamiento, sean cuidadosos y comprueben la dirección de las páginas a las que accedemos, sobre todo si son páginas de acceso a bancos, de información confidencial, etc.
David Sánchez