Safari per iOS 5.1: scoperta una grave vulnerabilità

Safari su iOS 5.1: scoperta una vulnerabilità che inganna l'utente tramite una "finta" barra degli indirizzi.
Safari per iOS 5.1: scoperta una grave vulnerabilità
Safari su iOS 5.1: scoperta una vulnerabilità che inganna l'utente tramite una "finta" barra degli indirizzi.
Giovanni Ferlazzo
Pubblicato il 23 mar 2012

Safari Mobile per iOS 5.1 contiene una grave vulnerabilità che mette a rischio la sicurezza dei dispositivi Apple. Il bug è stato scoperto dal ricercatore David Vieira-Kurz di MajorSecurity, il quale ha spiegato come questo bug possa essere sfruttato da malintenzionati per tentativi di spoofing verso gli utenti. Vieira-Kurz aggiunge che è assolutamente necessario un intervento di Apple con una patch che miri a riparare la falla.

Nel dettaglio, il ricercatore spiega sul sito di MajorSecurity che la vulnerabilità è causata da un errore nella gestione degli URL quando si utilizza il metodo window.open() in Javascript. Potenzialmente, questa può essere sfruttata per ingannare gli utenti a fornire informazioni sensibili all’interno di un sito web dannoso nella sostanza ma totalmente identico nell’apparenza a quello originale che viene imitato (Vieira-Kurz ha mostrato una demo con l’imitazione del sito ufficiale Apple). Questo perché le informazioni contenute all’interno della barra degli indirizzi possono essere modificate con astuzia in una determinata maniera.

Il bug è stato testato e risulta presente su iPhone 4, iPhone 4S, iPad 2 e nuovo iPad con iOS 5.1. Apple è già stata informata della cosa lo scorso 3 marzo e a breve potrebbe essere rilasciato un aggiornamento specifico.

Per provare in prima persona la vulnerabilità tramite la demo realizzata da MajorSecurity, quindi assolutamente sicura, seguire il procedimento seguente:

  • Visitare il sito http://majorsecurity.net/html5/ios51-demo.html con Safari su iOS 5.1;
  • Cliccare il pulsante “demo”;
  • Safari aprirà una nuova finestra con “http://www.apple.com” nella barra degli indirizzi, ma in realtà “http://www.apple.com” è visualizzato all’interno di un iframe all’interno del sito ospite http://www.majorsecurity.net;
  • Si noti come la barra degli indirizzi di Safari mostri effettivamente “http://www.apple.com” il che fa credere all’utente di essere davvero sul sito di Apple mentre in realtà si trova ancora nel sito del malintenzionato.

Ti consigliamo anche

iPhone 16: l'eccellenza Apple in sconto GIGANTE solo su eBay
Apple

iPhone 16: l'eccellenza Apple in sconto GIGANTE solo su eBay
Apple iPad 10: il tablet migliore del mondo CON CODICE PROMO sconto
Apple

Apple iPad 10: il tablet migliore del mondo CON CODICE PROMO sconto
Apple iPhone 16: comincia a metterlo sotto l'albero a prezzo ribassato
Apple

Apple iPhone 16: comincia a metterlo sotto l'albero a prezzo ribassato
MacBook Air: chip potente e display da urlo a prezzo MINIMO STORICO
Apple

MacBook Air: chip potente e display da urlo a prezzo MINIMO STORICO
Link copiato negli appunti