El investigador de seguridad Rafay Baloch, ha descubierto vulnerabilidades de falsificación de barras de direcciones en varios navegadores móviles, lo que podría permitir a los atacantes engañar a los usuarios para que compartan información sensible a través de sitios de phishing de aspecto legítimo.
A diferencia de los navegadores de escritorio, los navegadores móviles no son buenos para mostrar indicadores de seguridad que puedan señalar la naturaleza maliciosa de un sitio. De hecho, prácticamente el único indicador consistente es la barra de direcciones (es decir, una URL de aspecto sospechoso en ella).
Por lo tanto, si el atacante es capaz de falsificar la URL y mostrar la que el usuario espera (por ejemplo, apple.com para un sitio de phishing que se hace pasar por Apple), es muy probable que el usuario introduzca sus credenciales de inicio de sesión en ella.
Al jugar con el tiempo entre las cargas de las páginas y cuando el navegador tiene la oportunidad de refrescar la barra de direcciones, un atacante puede hacer que un pop-up aparezca desde un sitio web arbitrario o puede hacer que el contenido de la ventana del navegador parezca falsamente provenir de un sitio web arbitrario.
Los usuarios deben implementar las actualizaciones ofrecidas (si no tienen activada la opción de “auto-actualización”). Los que utilizan navegadores que aún no tienen correcciones disponibles podrían considerar la posibilidad de cambiar a un navegador que esté más activamente desarrollado/parchado.
Pero todos deben tener mucho cuidado cuando piensen en hacer clic en los enlaces recibidos a través de texto o correo electrónico de fuentes desconocidas. Estas fallas han sido remediadas, pero otras similares seguramente serán descubiertas en el futuro – esperemos que sea por los investigadores, y no por los atacantes.
Con información de: Masterhacks Noticias.