Investigadores de ciberseguridad revelaron el martes detalles sobre una vulnerabilidad de suplantación de la barra de direcciones que afecta a múltiples navegadores móviles, como Apple Safari y Opera Touch, dejando la puerta abierta a los ataques de spear-phishing y la entrega de malware.
Otros navegadores afectados incluyen UCWeb, Yandex Browser, Bolt Browser y RITS Browser.
Las fallas fueron descubiertas por el investigador de seguridad paquistaní Rafay Baloch en el verano de 2020 y reportadas conjuntamente por Baloch y la firma de ciberseguridad Rapid7 en agosto antes de que fueran abordadas por los fabricantes de navegadores en las últimas semanas.
UCWeb y Bolt Browser siguen sin actualizarse, mientras que se espera que Opera Mini reciba una solución el 11 de noviembre de 2020.
El problema se debe al uso de código JavaScript ejecutable malicioso en un sitio web arbitrario para obligar al navegador a actualizar la barra de direcciones mientras la página todavía se carga en otra dirección elegida por el atacante.
Demostración de PoC original |
“La vulnerabilidad se produce debido a que Safari conserva la barra de direcciones de la URL cuando se solicita a través de un puerto arbitrario, la función de intervalo establecido recarga bing.com:8080 cada 2 milisegundos y, por lo tanto, el usuario no puede reconocer la redirección de la URL original a la URL falsificada, “Rafay Baloch dijo en análisis técnico.
“Lo que hace que esta vulnerabilidad sea más efectiva en Safari de forma predeterminada no revela el número de puerto en la URL a menos que y hasta que el foco se establezca mediante el cursor”.
Dicho de otra manera; un atacante puede configurar un sitio web malicioso y atraer al objetivo para que abra el enlace desde un correo electrónico o mensaje de texto falsos, lo que lleva a un destinatario desprevenido a descargar malware o arriesgarse a que le roben sus credenciales.
La investigación también encontró que la versión macOS de Safari es vulnerable al mismo error, que según Rapid7 se ha abordado en una actualización de macOS de Big Sur lanzada la semana pasada.
Esta no es la primera vez que se detecta una vulnerabilidad de este tipo en Safari. En 2018, Baloch reveló un tipo similar de falla de suplantación de la barra de direcciones que hizo que el navegador conservara la barra de direcciones y cargara el contenido de la página falsificada a través de un retraso de tiempo inducido por JavaScript.
“Con la sofisticación cada vez mayor de los ataques de spear phishing, la explotación de vulnerabilidades basadas en el navegador, como la suplantación de la barra de direcciones, puede exacerbar el éxito de los ataques de spear-phishing y, por lo tanto, resultar muy letales”, dijo Baloch.
“En primer lugar, es fácil persuadir a la víctima para que robe credenciales o distribuya malware cuando la barra de direcciones apunta a un sitio web confiable y no proporciona indicadores falsos, en segundo lugar, dado que la vulnerabilidad explota una característica específica en un navegador, puede evadir varios -esquemas y soluciones de phishing “.