Falha no Safari para iOS pode exibir páginas maliciosas sem modificação da URL

Mais um dia, mais uma descoberta de vulnerabilidade no iOS — e é bom prestar mais atenção desta vez, já que a falha ainda não foi consertada pela Apple e pode afetar usuários menos atentos com alguma facilidade.

Publicidade

A descoberta, trazida pelo The Register, é do pesquisador de segurança Rafay Baloch, que detectou uma vulnerabilidade bem particular afetando não só o Safari do iOS, mas também o navegador Microsoft Edge, do Windows 10. A falha tem a ver com a barra de endereço dos browsers e, muito basicamente, permite que o JavaScript controle ou mude o endereço exibido por lá e mude os códigos exibidos na página, causando uma falsa sensação de segurança nos usuários.

Um exemplo: você acessa o site do seu banco, mas o site foi atacado por hackers e você não sabe. Aproveitando-se da vulnerabilidade, os invasores podem fazer com que o código legítimo da página seja substituído por um malicioso, aparentemente idêntico — e a URL na barra de endereços permanece intacta, sem a indicação de que você foi redirecionado para outro local ou que um código intruso foi ativado ali. Assim, você digita suas credenciais numa página falsa, pensando se tratar do site verdadeiro e… bom, já foi.

Um pequeno vídeo gravado pelo pesquisador demonstra a falha na prática:

Publicidade

Talvez mais grave que a vulnerabilidade em si é o fato de que Baloch notificou ambas as empresas, Apple e Microsoft, sobre ela assim que fez sua descoberta e, das duas, só a gigante de Redmond tomou ação imediata: em poucos dias, uma atualização de segurança foi despachada para o Edge e o navegador já está protegido de possíveis ameaças do tipo. A Apple, por sua vez, ainda não fez nada em relação ao problema – alguns poderiam dizer que a empresa está esperando a liberação do iOS 12 para a correção, o que é provável, mas tudo fica um pouco mais feio para o lado de Cupertino considerando que o pesquisador relatou o problema inicialmente em junho.

Enquanto o buraco não é tapado, ficam algumas dicas para você se proteger de possíveis ataques do tipo: sempre espere a página carregar completamente (a barra de carregamento, logo abaixo da barra de endereços, some quando isso acontece), já que a introdução de códigos maliciosos fará com que o Safari exiba um estado contínuo de carregamento do site.

Publicidade

Além disso, estranhe se, ao tocar num campo de credenciais, surgir na tela um teclado que não seja o padrão do sistema — isso porque o navegador da Apple impede a ativação do teclado enquanto a página não está completamente carregada, então os invasores precisam implementar teclados virtuais (como os que alguns sites de bancos usam) para enganar os usuários.

Fiquemos atentos e aguardemos novidades.

via AppleInsider

Publicidade

Posts relacionados

Comentários

Carregando os comentários…