Los millones de usuarios de dispositivos iPhone, iPad y iPad touch deben tener cuidado con un problema de seguridad que se ha anunciado recientemente y que afecta al funcionamiento del navegador web Safari. La empresa
MajorSecurity.net descubrió un fallo de seguridad que facilita la
suplantación de la dirección del navegador aunque estemos visitando otra web.
Descubierta por David Viera-Kurz, esta debilidad se debe a un error en el manejo de las URLs cuando se utiliza JavaScript windows.open (), es decir,
cuando se abre una nueva ventana del navegador. Esta vulnerabilidad puede ser explotada para engañar a los usuarios a suministrar información confidencial a un sitio web, ya que
la información que muestra la barra de direcciones es diferente a la que el usuario cree que esta visitando. ¿Qué significa esto? La web que aparece en la barra de direcciones puede no ser la que estemos visitando.
La vulnerabilidad ha sido reproducida en dispositivos con iOS 5 y 5.1. Como resultado de ello, el Ministerio Holandés de Seguridad y Justicia ha emitido una advertencia al respecto. MajorSecurity.net alertó a Apple este problema a principios de mes. La empresa de la manzana no se hizo rogar y pocos días después notificó que empezarían a trabajar en una actualización para resolver el problema. Mientras tanto,
desde Appleweblog recomendamos no abrir enlaces que no son de confianza y pensar dos veces antes de enviar información personal a cualquier sitio web que lo solicite, a través de Safari Mobile.
Para quienes quieran probar esta vulnerabilidad, la empresa descubridora
ha creado una demos para ver personalmente como funciona. Tan solo debemos abrir la página en nuestro dispositivo móvil con el navegador Safari y hacer click en el botón demostración. Veremos como se abre una página que según el navegador es
http://www.apple.com pero en realidad se trata de un montaje de MajorSecutity.net