venerdì 23 marzo 2012

Trovato un importante bug in Safari su iOS 5.1

David Vieira-Kurz ha trovato un bug abbastanza grave in Safari Mobile su iOS 5.1, vediamo meglio di cosa si tratta dopo il salto.


La vulnerabilità riguarda la gestione degli URL quando si utilizza in Javascript il metodo window .open (). Questo problema può essere sfruttato da alcuni malintenzionati con lo scopo di ingannare degli utenti che potrebbero fornire dati sensibili ad un sito dannoso, ma del tutto uguale a quello originale.
Tutto questo può avvenire in quanto l'indirizzo visualizzato nella barra bianca in alto può essere cambiato e costruito apposta, per esempio un utente può pensare di essere sul sito Apple vedendo che l'URL indicato è http://www.apple.com, ma in realtà non è così.


Per verificare se anche il vostro dispositivo è affetto da questo bug seguite questa semplice procedura:
  1. Visitate il sito http://majorsecurity.net/html5/ios51-demo.html tramite Safari Mobile
  2. Cliccate sul pulsante "Demo"
  3. A questo punto Safari aprirà una nuova finestra che come indirizzo avrà http://www.apple.com, ma in realtà si trova in un iframe del sito Majorsecurity.net
Come potete notare, nonostante quello non sia il sito Apple, nella barra indirizzi viene visualizzato l'indirizzo http://www.apple.com.

La maggior parte dei terminali presenta questo problema, ma non tutti.

Per il momento, l'unica cosa possiamo dirvi è di fare attenzione, perché questo bug può essere sfruttato anche per il sito di una banca per esempio.

[VIA]

Nessun commento:

Posta un commento