Aviv Raff ha publicado un método para falsificar el mensaje que se muestra al tratar de autenticarse en un sitio web utilizando Firefox. Para ello ha explotado un error de diseño consistente en que Firefox (incluida la versión 2.0.0.11) muestra en estos diálogos las comillas simples, en lugar de eliminarlas. Ese defecto da lugar a manipulaciones que pueden facilitar el phishing.
Por ejemplo; estamos en un sitio web que nos muestra un enlace para pagar con Paypal. Al pulsarlo, se carga en una nueva página la web de Paypal, mientras un script nos redirige a la web del atacante, que nos ofrece el cuadro de autenticación manipulado. Un observador poco atento caerá en la trampa y suministrará los datos de acceso a su cuenta de Paypal (o su cuenta bancaria), que pasan a poder del atacante [Véase por ejemplo este vídeo].
Para mayor claridad, he manipulado el campo correspondiente en una autenticación y he capturado a continuación cómo lo muestran Explorer 6, Firefox, Opera y Konqueror...
Como podéis ver, Firefox se presta más fácilmente al engaño, aunque Konqueror no anda muy lejos (si bien las comillas simples "cantan" demasiado). En cambio tanto Explorer como Opera dejan bien claro ante qué sitio nos estamos autenticando:
No hay comentarios:
Publicar un comentario