Recurso de esconder URLs no iPhone facilita phishing

Ao navegar pela web no Mobile Safari, no iPhone, a barra de endereços do navegador desaparece por padrão após a pÁgina ser renderizada e completamente exibida. Esse recurso pode ser utilizado como ferramenta de phishing, escondendo uma URL maliciosa enquanto o usuÁrio pensa que estÁ em um site legítimo.

O pesquisador em segurança Nitesh Dhanjani desenvolveu uma prova de conceito para ilustrar a situação. Em seu blog, ele explica que, no smartphone da Apple, esse comportamento ocorre quando determinados sites seguem diretrizes HTML que os identificam como versões móveis.



Como exemplo, Dhanjani utilizou o site do Bank of America, fazendo com que ele mostrasse na tela uma URL legítima, porém falsa, enquanto o browser esconde o endereço verdadeiro do usuÁrio. "A barra de endereços fica visível enquanto a pÁgina é carregada, mas imediatamente desaparece quando é renderizada por completo", ressalta o especialista. "Talvez isso dê ao usuÁrio algum tempo para perceber, mas não é um controle muito confiÁvel (e eu não acho que a Apple pretendia que fosse)", completa.



De acordo com o Macworld, Dhanjani foi o responsÁvel por encontrar uma vulnerabilidade no Safari para Mac OS em 2008, que permitiria o download automÁtico de arquivos maliciosos na mÁquina da vítima porque o navegador "não pode ser configurado de modo que exija a permissão do usuÁrio para fazer o download de um recurso", conforme o pesquisador. Na época, a Apple negou que o inconveniente se tratava de uma falha de segurança, mas disponibilizou um patch de correção posteriormente.

Dhanjani alertou a Apple sobre o caso do Mobile Safari, mas a companhia afirmou apenas estar ciente das implicações, mas que não sabe como resolverão o problema. "Levando em conta como os ataques por phishing e malware estão violentos atualmente, eu espero que a Apple escolha por não permitir que aplicações web escondam arbitrariamente a barra de endereços do Safari", declarou.

Assuntos
Tags
  • Redator: Risa Lemos Stoider

    Risa Lemos Stoider

    Formada em Jornalismo pela Universidade Federal de Santa Catarina (UFSC) e gamemaníaca desde os 4 anos de idade. Já experimentou consoles de várias gerações e atualmente mantém uma ainda modesta coleção. Aliando a prática jornalística com a paixão pela tecnologia e os games, colabora com a Adrenaline publicando notícias e artigos.

Qual vai ser o melhor game de outubro de 2020?

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.