Lo spoofing è un grave problema di sicurezza negli URL su iOS, lo dice un esperto in sicurezza

Il ricercatore ed esperto in sicurezza Nitesh Dhanjani ha dimostrato un metodo con cui le applicazioni “maligne” potrebbero ingannare gli utenti iPhone e fargli credere di essere su un sito fidato (ad esempio il sito di una banca), quando in realtà non lo sono. Il “trucco” è attuabile da malintenzionati, sfruttando le API Apple per la visualizzazione dei siti web.

La tecnica, chiamata “spoofing dell’interfaccia utente“, nasconde l’URL “vero” (una volta caricato) e inserisce, nella barra, un  “falso” URL del sito. Insomma, un modo per ingannare gli utenti, facendo credere loro di essere su un sito diverso, o semplicemente nascondendo del tutto la barra degli indirizzi.

La tecnica utilizza una classe di Apple UIWebView, che consente agli sviluppatori di far visualizzare siti web senza uscire dall’applicazione o lanciare Safari. L’API prevede che l’indirizzo “reale” venga visualizzato quando il sito viene aperto, ma può essere nascosto o falsificato una volta che la pagina è stata del tutto caricata. Sulle connessioni veloci, un URL “reale” può scomparire troppo rapidamente perchè gli utenti possano leggerlo.

Come esempio, Dhanjani ha lanciato l’applicazione Twitter su iPad, ha trovato un URL “abbreviato” in un tweet e ha cliccato su di esso. La barra degli indirizzi viene visualizzata con l’URL accorciato, ma la pagina si carica così velocemente che l’URL “risolto” viene visto solo un attimo prima che la pagina si carichi e, successivamente, il sito va a nascondere del tutto la barra indirizzi.

Questa tecnica potrebbe rivelarsi una manna per i phisher e altri malintenzionati sul web. Dhanjani dice che il problema nasce dalla necessità di massimizzare le dimensioni dello schermo su piccoli dispositivi come l’iPhone e dal desiderio degli sviluppatori di far sì che l’utente sia  “immerso” nella loro applicazione, piuttosto che lanciare un’applicazione separata come accadrebbe in un computer desktop, quando un URL HTTP o HTTPS viene cliccato.

Dhanjani ha parlato con Apple di questa questione, e loro dicono che ne sono a conoscenza, ma non hanno dato alcuna informazione su quando e come il problema verrà risolto.

Dhanjani ha anche realizzato un video che mostra la tecnica di spoofing dell’interfaccia utente in azione, video spedito poi ad Apple. Egli ha inoltre creato un “URL spoofing”, emulando un sito di una nota banca USA. Nelle immagini in alto, potete vedere  a sinistra la falsa pagina con la barra degli URL nascosta e a destra  ciò che l’utente potrebbe vedere se scorre la pagina verso il basso (o durante il caricamento della pagina).

[via]

HotAcquista iPhone 15 su Amazon!
News