Saltar al contenido

VulnTober, navegadores afectados por secuestro de barra de navegación

VulnTober, navegadores afectados por secuestro de barra de navegación

El address bar spoofing, como lo dicen al otro lado del atlántico, consiste en suplantar la identidad de un sitio web legítimo, en la barra de navegación (donde escribimos las URL) del navegador, haciendo pasar a un servidor malicioso por quien no es, de forma que el usuario caiga en la trampa.

Es lo que ha visto recientemente un experto de ciberseguridad (Rafay Baloch) al fijarse en que varios navegadores populares de dispositivos móviles Android o iOS están afectados por este tipo de vulnerabilidad.

Esto permite engañar con técnicas de phishing a los usuarios, de una forma tal que muchos de ellos caerán porque confían en el dominio que se les muestra (es el principal indicador en que se fija el usuario normalmente)

Con la siempre creciente sofisticación de los ataques tipo spear-phishing, explotar vulnerabilidades de lado del navegador como la suplantación de barra de direcciones, podría exacerbar el ratio de éxito. [..] es fácil persuadir a la víctima para robarle las credenciales o distribuir malware cuando la barra de direcciones apunta a un sitio confiable y no muestra signos de alteración […] además es fácil evadir algunas soluciones anti-phishing, al aprovecharse una vulnerabilidad en el navegador del usuario.

Boletín de Rafay Baloch
Nos referimos a esto, cuando hablamos de address bar spoofing

Navegadores móviles afectados por suplantación de barra de direcciones

Esta vulnerabilidad afecta a los siguientes navegadores para smartphones y tablets Android:

  • Opera Browser
  • Opera Mini
  • Yandex Browser
  • RITS Browser for Android

En el caso de iOS:

  • Opera Touch
  • Bolt Browser
  • Safari para iOS

Lo peligroso de esto es que los navegadores móviles no tienen mecanismos tan claros para indicar indicadores de seguridad, en oposición a los de escritorio. La falta de espacio hace que el único indicador evidente sea la barra de direcciones.

Por eso, dado que el usuario sería capaz de suplantar el dominio apple.com (ejemplo anterior) en un ataque de phishing que dirija a ese sitio manipulado, hay elevadas posibilidades de que el usuario acabe introduciendo información de valor, que recibirá el atacante de forma inmediata.

Este tipo de ataque encaja con el método descrito en Common Weaknesses Enumeration 451. El scoring the CVSS es algo bajo, con 4.3, pero como hemos visto no es un tema menor.

Tal como describe Rapid7, lo único necesario es realizar algunas modificaciones vía JavaScript.

Al modificar el tiempo entre carga de páginas, y cuando el navegador tiene la oportunidad de refrescar la barra de direcciones, un atacante puede:

  • Utilizar un pop-up que aparezca desde un sitio web externo
  • Volver a renderizar el contenido de la ventana, para que visualmente aparezca como el sitio web legítimo que pretende

Ejemplo:

<p class="test"><input class="btn btn-success btn-lg" type="button" value="Run test case" onclick="spoof();"> </p>

Parches correctivos o mitigación

Echad un vistazo a la tabla facilitada a continuación:

CVEVendorBrowserVersionPlatform¿Solucionado?
CVE-2020-7363UCWebUC Browser13.0.8AndroidSin respuesta
CVE-2020-7364UCWebUC Browser13.0.8AndroidSin respuesta
CVE TBD-OperaOperaOpera Mini51.0.2254AndroidFutura actualización el 11/11/2020
CVE TBD-OperaOperaOpera Touch2.4.4iOSVersión 2.4.5 lanzada el 15/09/2020
CVE TBD-OperaOperaOpera Touch2.4.4iOSVersión 2.4.5 lanzada el 15/09/2020
CVE TBD-OperaOperaOpera Touch2.4.4iOSVersión 2.4.5 lanzada el 15/09/2020
CVE-2020-7369YandexYandex Browser20.8AndroidVersión 20.8.4 lanzada el 1/10/2020
CVE-2020-7370Danyil VasilenkoBolt Browser1.4iOSEsperando respuesta
CVE-2020-7371Raise IT SolutionsRITS Browser3.3.9AndroidSi, el 19/10/2020
CVE-2020-9987AppleAppleiOS 13.6iOS16/09/2020

Si sois afortunados, vuestor producto habrá recibido o recibirá una mitigación vía parche dentro de poco.

En caso contrario, y esto no excluye lo anterior, SIEMPRE hay que tener precaución con los enlaces a sitios web y verificar varias veces si es necesario, o bien acceder de una forma alternativa que no nos comprometa.

Fuentes adicionales:

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: