Safari per iOS 5.1: scoperta una grave vulnerabilità

Safari su iOS 5.1: scoperta una vulnerabilità che inganna l'utente tramite una "finta" barra degli indirizzi.
Safari per iOS 5.1: scoperta una grave vulnerabilità
Safari su iOS 5.1: scoperta una vulnerabilità che inganna l'utente tramite una "finta" barra degli indirizzi.
Giovanni Ferlazzo
Pubblicato il 23 mar 2012

Safari Mobile per iOS 5.1 contiene una grave vulnerabilità che mette a rischio la sicurezza dei dispositivi Apple. Il bug è stato scoperto dal ricercatore David Vieira-Kurz di MajorSecurity, il quale ha spiegato come questo bug possa essere sfruttato da malintenzionati per tentativi di spoofing verso gli utenti. Vieira-Kurz aggiunge che è assolutamente necessario un intervento di Apple con una patch che miri a riparare la falla.

Nel dettaglio, il ricercatore spiega sul sito di MajorSecurity che la vulnerabilità è causata da un errore nella gestione degli URL quando si utilizza il metodo window.open() in Javascript. Potenzialmente, questa può essere sfruttata per ingannare gli utenti a fornire informazioni sensibili all’interno di un sito web dannoso nella sostanza ma totalmente identico nell’apparenza a quello originale che viene imitato (Vieira-Kurz ha mostrato una demo con l’imitazione del sito ufficiale Apple). Questo perché le informazioni contenute all’interno della barra degli indirizzi possono essere modificate con astuzia in una determinata maniera.

Il bug è stato testato e risulta presente su iPhone 4, iPhone 4S, iPad 2 e nuovo iPad con iOS 5.1. Apple è già stata informata della cosa lo scorso 3 marzo e a breve potrebbe essere rilasciato un aggiornamento specifico.

Per provare in prima persona la vulnerabilità tramite la demo realizzata da MajorSecurity, quindi assolutamente sicura, seguire il procedimento seguente:

  • Visitare il sito http://majorsecurity.net/html5/ios51-demo.html con Safari su iOS 5.1;
  • Cliccare il pulsante “demo”;
  • Safari aprirà una nuova finestra con “http://www.apple.com” nella barra degli indirizzi, ma in realtà “http://www.apple.com” è visualizzato all’interno di un iframe all’interno del sito ospite http://www.majorsecurity.net;
  • Si noti come la barra degli indirizzi di Safari mostri effettivamente “http://www.apple.com” il che fa credere all’utente di essere davvero sul sito di Apple mentre in realtà si trova ancora nel sito del malintenzionato.

Ti consigliamo anche

iPhone e Mac da aggiornare subito: l'avvertimento urgente di Apple
Apple

iPhone e Mac da aggiornare subito: l'avvertimento urgente di Apple
Apple iPhone 16 Pro: occasione IMPERDIBILE con il codice promo SEGRETO
Apple

Apple iPhone 16 Pro: occasione IMPERDIBILE con il codice promo SEGRETO
Il display Smart Home di Apple è vicino: parte la sfida all'Echo Show di Amazon
Apple

Il display Smart Home di Apple è vicino: parte la sfida all'Echo Show di Amazon
Apple iPhone 16 Pro: 256GB di memoria e prezzo MINIMO STORICO
Apple

Apple iPhone 16 Pro: 256GB di memoria e prezzo MINIMO STORICO
Link copiato negli appunti