Safari víctima de un nuevo ataque spoofing

Hace unos meses un investigador descubrió una vulnerabilidad no parcheada en el navegador web de Safari. La vulnerabilidad en cuestión permitiría a un atacante controlar el contenido mostrado en la barra de direcciones. Este bug si es explotado correctamente podría permitir la construcción de un buen ataque phishing que resultaría muy difícil de identificar por cualquier usuario. Esta brecha de seguridad ha sido generada por un fallo en la actualización de la barra de búsqueda. El navegador de Apple permite a javascript actualizar la información de la barra de direcciones antes de que la página buscada acabe de cargar por completo.

El investigador Rafay Baloch ha sido capaz de reproducir esta vulnerabilidad únicamente en los buscadores Safari de Apple y Edge de Microsoft. Tras su descubrimiento Rafay no dudó en informar a los responsables de cada compañía, sin embargo solo Microsoft ha respondido con un parche de seguridad lanzado el pasado 14 de agosto que formaba parte de sus actualizaciones de seguridad. Apple recibió el aviso el día 2 de junio y 90 días después tras superar el periodo de no divulgación el bug se ha dado a conocer públicamente. 

Esta vulnerabilidad ya es conocida como CVE-2018-8383 y está esperando para ser puntada. Explotar esta vulnerabilidad requiere que el atacante engañe a la víctima para acceder a una página diseñada especialmente para suplantar la página buscada, algo que no resulta muy complicado. Retrasando la actualización de la barra de direcciones un atacante podría suplantar cualquier página web mientras que la víctima ve el dominio legítimo con sus respectivas marcas de autenticación. En la mayoría de los casos el cambio en la barra de direcciones se puede apreciar perfectamente, sin embargo esto pasa también con muchas páginas legitimas que aprovechan para cargar algunos elementos secundarios en background, haciendo que no resulte nada sospechoso.