Suplantación de la barra de direcciones de iOS 5.1

l fallo, con un riesgo de seguridad moderado, se encuentra en el manejador de URLs cuando se utiliza la función JavaScript "window.open" de Apple Webkit/534.46. Este fallo podría ser aprovechado por un atacante remoto para suplantar la barra de direcciones y así engañar al usuario mostrando como dirección de la página actual una distinta a la realmente visitada. En resumen, para dar realismo a potenciales casos de phishing.

Vieria-Kurz ha publicado una prueba de concepto con la que se demuestra este fallo y cualquier. Cualquier usuario que visite con su terminal http://www.majorsecurity.net/safari-514-ios51-advisory.php,verá que la dirección que realmente aparece en el navegador Safari es www.apple.com.

No existe parche disponible, por lo que se recomienda no visitar páginas importantes con Safari en iOS a través de un enlace que no sea de confianza. Por supuesto, actualizar tan pronto como vendedor publique el parche esté disponible.

Apple ya se enfrentó a un problema muy parecido en diciembre de 2010.

Más información:

Reporte oficial de MajorSecurity http://www.majorsecurity.net/safari-514-ios51-advisory.php

Apple Safari en iOS 5.1 vulnerable a Address Bar Spoofing http://www.seguridadapple.com/2012/03/apple-safari-en-ios-51-vulnerable.html