VulnTober, navegadores afectados por secuestro de barra de navegación
El address bar spoofing, como lo dicen al otro lado del atlántico, consiste en suplantar la identidad de un sitio web legítimo, en la barra de navegación (donde escribimos las URL) del navegador, haciendo pasar a un servidor malicioso por quien no es, de forma que el usuario caiga en la trampa.
Es lo que ha visto recientemente un experto de ciberseguridad (Rafay Baloch) al fijarse en que varios navegadores populares de dispositivos móviles Android o iOS están afectados por este tipo de vulnerabilidad.
Esto permite engañar con técnicas de phishing a los usuarios, de una forma tal que muchos de ellos caerán porque confían en el dominio que se les muestra (es el principal indicador en que se fija el usuario normalmente)
Con la siempre creciente sofisticación de los ataques tipo spear-phishing, explotar vulnerabilidades de lado del navegador como la suplantación de barra de direcciones, podría exacerbar el ratio de éxito. [..] es fácil persuadir a la víctima para robarle las credenciales o distribuir malware cuando la barra de direcciones apunta a un sitio confiable y no muestra signos de alteración […] además es fácil evadir algunas soluciones anti-phishing, al aprovecharse una vulnerabilidad en el navegador del usuario.
Boletín de Rafay Baloch
Navegadores móviles afectados por suplantación de barra de direcciones
Esta vulnerabilidad afecta a los siguientes navegadores para smartphones y tablets Android:
- Opera Browser
- Opera Mini
- Yandex Browser
- RITS Browser for Android
En el caso de iOS:
- Opera Touch
- Bolt Browser
- Safari para iOS
Lo peligroso de esto es que los navegadores móviles no tienen mecanismos tan claros para indicar indicadores de seguridad, en oposición a los de escritorio. La falta de espacio hace que el único indicador evidente sea la barra de direcciones.
Por eso, dado que el usuario sería capaz de suplantar el dominio apple.com (ejemplo anterior) en un ataque de phishing que dirija a ese sitio manipulado, hay elevadas posibilidades de que el usuario acabe introduciendo información de valor, que recibirá el atacante de forma inmediata.
Este tipo de ataque encaja con el método descrito en Common Weaknesses Enumeration 451. El scoring the CVSS es algo bajo, con 4.3, pero como hemos visto no es un tema menor.
Tal como describe Rapid7, lo único necesario es realizar algunas modificaciones vía JavaScript.
Al modificar el tiempo entre carga de páginas, y cuando el navegador tiene la oportunidad de refrescar la barra de direcciones, un atacante puede:
- Utilizar un pop-up que aparezca desde un sitio web externo
- Volver a renderizar el contenido de la ventana, para que visualmente aparezca como el sitio web legítimo que pretende
Ejemplo:
<p class="test"><input class="btn btn-success btn-lg" type="button" value="Run test case" onclick="spoof();"> </p>
Parches correctivos o mitigación
Echad un vistazo a la tabla facilitada a continuación:
| CVE | Vendor | Browser | Version | Platform | ¿Solucionado? |
|---|---|---|---|---|---|
| CVE-2020-7363 | UCWeb | UC Browser | 13.0.8 | Android | Sin respuesta |
| CVE-2020-7364 | UCWeb | UC Browser | 13.0.8 | Android | Sin respuesta |
| CVE TBD-Opera | Opera | Opera Mini | 51.0.2254 | Android | Futura actualización el 11/11/2020 |
| CVE TBD-Opera | Opera | Opera Touch | 2.4.4 | iOS | Versión 2.4.5 lanzada el 15/09/2020 |
| CVE TBD-Opera | Opera | Opera Touch | 2.4.4 | iOS | Versión 2.4.5 lanzada el 15/09/2020 |
| CVE TBD-Opera | Opera | Opera Touch | 2.4.4 | iOS | Versión 2.4.5 lanzada el 15/09/2020 |
| CVE-2020-7369 | Yandex | Yandex Browser | 20.8 | Android | Versión 20.8.4 lanzada el 1/10/2020 |
| CVE-2020-7370 | Danyil Vasilenko | Bolt Browser | 1.4 | iOS | Esperando respuesta |
| CVE-2020-7371 | Raise IT Solutions | RITS Browser | 3.3.9 | Android | Si, el 19/10/2020 |
| CVE-2020-9987 | Apple | Apple | iOS 13.6 | iOS | 16/09/2020 |
Si sois afortunados, vuestor producto habrá recibido o recibirá una mitigación vía parche dentro de poco.
En caso contrario, y esto no excluye lo anterior, SIEMPRE hay que tener precaución con los enlaces a sitios web y verificar varias veces si es necesario, o bien acceder de una forma alternativa que no nos comprometa.
Fuentes adicionales:
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.