Safari y Microsoft Edge están expuestos a ataques de phishing sofisticados
Un investigador en seguridad de Pakistán ha descubierto una vulnerabilidad que permite a los atacantes falsificar la dirección de un sitio web (la URL) en Microsoft Edge (exclusivo de Windows 10) y Safari (exclusivo del ecosistema Apple).
Básicamente, lo que permite la vulnerabilidad (CVE-2018-8383 en el caso de Edge) es llevar a cabo ataques de phishing, los cuales se han vuelto cada vez más sofisticados, hasta el extremo de ver falsificaciones de páginas web que son prácticamente imposibles de distinguir de la original. Puede ser explotada debido a un problema de condición de carrera causado por los navegadores web, permitiendo mediante código JavaScript modificar la página web legítima por otra falsificada manteniendo la misma URL.
Entrando en detalles, el proceso de explotación permite a un atacante empezar a cargar la página web legítima, haciendo que se muestre la URL auténtica en la barra de direcciones. Después se reemplazar el código de la página web legítima por otro de carácter malicioso manteniendo la misma URL mostrada inicialmente, con el que se podría acabar engañando al usuario para obtener sus datos. Los atacantes pueden falsificar las páginas web de acceso de servicios populares como Facebook, Gmail, Twitter y bancos, por solo mencionar algunos ejemplos que podrían generar grandes perjuicios a la víctima.
Con el fin de demostrar sus descubrimientos, el investigador ha puesto a disposición una prueba de concepto contra Microsoft Edge, de la cual se conocieron todos los detalles tras pasar 90 días de la publicación de la vulnerabilidad y después de que el gigante de Redmond publicara la correspondiente corrección en el Parche del Martes, mientras que todavía mantiene buena parte de los detalles del caso de Safari por petición de Apple, hasta que el gigante de Cupertino consiga crear los parches necesarios para la próxima versión de su navegador.