miércoles, diciembre 05, 2012

Un address bar spoofing de libro en Twitter para iPhone

Me sorprende haber leído tan poco sobre este tema, así que voy a dedicarle una entrada, porque es uno de los trucos más usado para robar las cuentas de Twitter a los usuarios menos avisados en la red social de los 140 caracteres, y que fue uno de los 10 ejemplos que os conté en "10 formas de robarle la agenda de contactos a Pipi"

Address Bar Spoofing es una vulnerabilidad tipificada que se produce cuando la visualización de una página web oculta la dirección URL de donde está, abriéndose la ventana a los ataques de phishing. Esto es así porque el usuario que visualiza la página no tiene forma de averiguar si está en el sitio real o no y es fácil para los atacantes solicitar credenciales de sitios en los que confía la víctima.

En los navegadores hemos visto a lo lardo de la historia miles de casos de malware que superponían una imagen sobre la barra, o abrían un iframe a pantalla completa pintando una barra que simulaba ser de un banco, etcétera. De hecho, en iOS para iPhone tuvimos una vulnerabilidad de address bar spoofing que dio mucho que hablar, y en la versión iOS 5.1 apareció otra en Apple Mobile Safari para iOS que fue parcheada en el iOS 5.1.1.

Figura 1: Address Bar Spoofing en Apple Mobile Safari para iOS 5.1

Es por esto que me llama la atención que en Twitter para iPhone, cuando se muestra el contenido enviado en un enlace acortado, la forma natural de hacerlo sea ocultando la barra de navegación, dejando como única referencia visual una porción pequeña del título.

Figura 2: Visualización de una web en Twitter para iOS

En cualquier ataque de robo de cuentas es una tentación aprovecharse de esta debilidad. Para un atacante es tan sencillo como crear una supuesta página de login de Gmail, Twitter, Facebook, o lo que sea, y enviar un enlace a la víctima diciendo algo como: "Flipa lo que han publicado en Facebook", o ·"Revista este tweet que te están poniendo fino filipino".

Cuando la víctima pulsa en el enlace dentro de Twitter para iPhone, el atacante va a mostrar una supuesta página de inicio de sesión en Twitter o Facebook para engañar al usuario, que gracias a este diseño propenso al address bar spoofing va a hacer que sea mucho más común que la víctima pique y acabe introduciendo las credenciales.

Figura 3: Abre el link en Safari o envíalo por e-mail para ver la URL

Curiosamente, en Twitter para iPad, debido a que el diseño es más espacioso, es posible ver la dirección en la que se está al abrir un enlace justo debajo del título. ¿No debería haber algo para verlo también en Twitter para iPhone? Para ver el enlace real, una de las formas es seleccionar la opción de enviar por correo y ver el link completo en el mensaje de e-mail.

Saludos Malignos!

Actualización: En la siguiente versión de Twitter para iPhone se ha arreglado este bug, tal y como puede verse en este artículo "Twitter para iPhone arregló el bug de Address Bar Spoofing".

10 comentarios:

Anónimo dijo...

Hombre, es algo que puedes solucionar tirando hacia abajo de la barra. De esa manera ves la dirección si tienes dudas de que estás siendo víctima de algo... No creo que sea tan difícil...

Maligno dijo...

@anónimo. No, no se ve la URL así.

Asquerosamente Sexy dijo...

El phishing desde twiter es pan comido, y en general desde cualquier dispositivo móvil ya que la tendencia de los navegadores móviles es ocultar la url para aprovechar el espacio al hacer scroll (cosa en la que estoy de acuerdo, y no me importaría que lo hagan en los pc's, ya que a veces es mejor dejar de lado un poco la seguridad para dejar paso a la comodidad)

Saludos y por cierto, hay que cargar el móvil ;) xD

Anónimo dijo...

@Maligno, estás en lo erroneo, si que se ve. Lo estoy haciendo ahora mismo.

Entra en twitter desde tu safari y desde la barrita azul donde pone home dale hacia abajo... verás la barra tanto en Twitter como en cualquier otro site que use dicha propiedad de ocultacion de la barra.

Maligno dijo...

@Anónimo, tienes es Twuitter para IPhone, no Twitter para Safari... Lee el post..

Saludos!

Maligno dijo...

@Anónimo, te has quedado en el bug de iOS 5.1 que fue solucionado en iOS 5.1.1 y no en lo que comento de Twitter para iPhone....

Saludos!

Anónimo dijo...

@Maligno, OK ahora veo lo que querías decir.

Saludos!

Jose Angel dijo...
Este comentario ha sido eliminado por el autor.
Alejandro Eguía dijo...

También sucede con algunas aplicaciones para leer códigos QR que abren los enlaces en navegadores integrados y como la aplicación de Twitter no muestran la URL de la página abierta.

Y como todos sabemos a la gente le encanta leer los QR e ingresar sus datos cuando se los piden :)

SiPoX dijo...

@Maligno También sucede lo mismo para la aplicación oficial de gmail, sólo aparece el título de la web pero no la barra de direcciones.

Entradas populares