Trovata importante vulnerabilità in Safari Mobile su iOS 5.1

David Vieira-Kurz di MajorSecurity ha scoperto un problema di sicurezza in Safari Mobile presente in iOS 5.1. Tale vulnerabilità potrebbe aiutare eventuali malintenzionati a tentativi di spoofing verso ignari utenti.

La debolezza è causata da un errore nella gestione degli URL quando si utilizza in javascript il metodo window.open (). Questo può essere sfruttato per ingannare gli utenti che potrebbero potenzialmente fornire informazioni sensibili a un sito Web dannoso, del tutto identico al sito originale che si sta cercando di imitare, dato che le informazioni visualizzate nella barra degli indirizzi possono essere costruite in un certo modo.

La vulnerabilità è stata testata e risulta presente su iPhone4, iPhone4S, iPad2 e iPad3 con iOS 5.1. Ad Apple è stata notificata il 3 Marzo, e dovrebbe rilasciare un aggiornamento per iOS che risolva il problema a breve.

La procedura, per testare questo bug di sicurezza, è la seguente:

1) Visitate il sito http://majorsecurity.net/html5/ios51-demo.html con Safari su iOS 5.1

2) Fare clic sul pulsante “demo”

3) Safari si aprirà una nuova finestra con “http://www.apple.com” nella barra degli indirizzi, ma in realtà “http://www.apple.com” è visualizzato all’interno di un iframe all’interno del sito ospite http://www.majorsecurity.net

4) Notate come la barra degli indirizzi di Safari mostra effettivamente “http://www.apple.com” il che fa credere all’utente di essere davvero sul sito di Apple mentre in realtà si trova ancora nel sito del malintenzionato.

Immaginate adesso la stessa procedura, con al posto del sito di Apple la fedele riproduzione del sito della vostra banca, delle poste, o qualunque altro sito che possa contenere nostri dati sensibili. Speriamo che Apple fixi il problema nel più breve tempo possibile. Nel frattempo non ci resta che fare attenzione.

Via | iClarified

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: