Estas aquiContenido / Falsificación de cuadros de diálogo en Firefox
Falsificación de cuadros de diálogo en Firefox
Aviv Raff ha publicado un método para falsificar el mensaje que se muestra al tratar de autenticarse en un sitio web utilizando Firefox. Para ello ha explotado un error de diseño consistente en que Firefox (incluida la versión 2.0.0.11) muestra en estos diálogos las comillas simples, en lugar de eliminarlas. Ese defecto da lugar a manipulaciones que pueden facilitar el phishing.
Por ejemplo; estamos en un sitio web que nos muestra un enlace para pagar con Paypal. Al pulsarlo, se carga en una nueva página la web de Paypal, mientras un script nos redirige a la web del atacante, que nos ofrece el cuadro de autenticación manipulado. Un observador poco atento caerá en la trampa y suministrará los datos de acceso a su cuenta de Paypal (o su cuenta bancaria), que pasan a poder del atacante [Véase por ejemplo este vídeo].
Para mayor claridad, he manipulado el campo correspondiente en una autenticación y he capturado a continuación cómo lo muestran Explorer 6, Firefox, Opera y Konqueror...
Como podéis ver, Firefox se presta más fácilmente al engaño, aunque Konqueror no anda muy lejos (si bien las comillas simples "cantan" demasiado). En cambio tanto Explorer como Opera dejan bien claro ante qué sitio nos estamos autenticando:
Ostia! Pues cuelan bastante bien eh? Diría que incluso en la del Explorer y Opera picarían bastantes... así con las prisas... Muy ingenioso, la verdad. Esto ya es nivelazo. Hay que inventarselas todas, supongo.
Todos mencionan a www.kriptopolis.org, pero sí es cierto que Opera y explorer lo hacen con mayor claridad.
Hola admin,
tengo unas dudas, internet explorer entonces no podría ser vulnerable a este tipo de ataque?
un saludo
Dado que tanto explorer como opera te muestran claramente quien te está pidiendo usuario y contraseña no es paypal sinó kriptópolis. En Firefox ese texto se puede manipular (dado el mal filtrado que se hace de las comillas simples y espacios) para que ahí también diga que te lo pide paypal.
Los cuatro navegadores "engañan" al usuario.
Si a lo que te refieres es a que si aún rellenado tus datos en cualquiera de las cuatro ventanas emergentes, la respuesta es SI, en todos los casos tu cuenta o tarjeta de crédito sufrirían mermas de saldo.
Lo que se indica es si aún viendo esta ventana el usuario continuaría introduciendo sus datos en la ventana manipulada.
Un saludo
JokerDM
Tanto en opera como en explorer hay una mención explícita al sitio web solicitante de la identificación, mientras que no aparece en firefox y konqueror.
De acuerdo en que todos los casos pueden inducir a engaño puesto que muchos usuarios, esperando que se les soliciten estos datos, los introduzcan sin mirar más.
La gravedad de la vulnerabilidad radica en que esperamos que la identificación nos la solicite un servicio ajeno al de la página en la que (por ejemplo) estamos comprando algo y (por ejemplo) elegimos pagarlo via paypal. En este caso la solicitud la esperamos de paypal. Si el texto del cuadro de diálogo viene manipulado, podemos estar introduciendo esta información en otro sitio, por supuesto malicioso.
Ahora bien, dado que el script manipulado debe provenir de la página donde (en el ejemplo) hacemos la compra, ¿qué impide que esta página nos lance un formulario aún mejor realizado que ese donde se nos pidan esos mismos datos?. En ese caso podemos picar con independencia de que navegador estemos utilizando.
La única solución es que la llamada a paypal la realicemos nosotros mismos, tecleando la url en el navegador y no siguiendo ningún link.
El problema es que a un usuario de nivel medio alto es más dificil pegarsela con esas cosas, ya que anda con más cuidado. El problema hoy en día es que todo el mundo accede a Internet y en un alto porcentaje son la clase de cibernautas que pinchan en los banner que aparecen textos como "ENCHORABUENA ES EL VISITANTE 1.000.000...", basicamente son presa fácil para prácticas delictivas. Lo que me pregunto es, ¿En quien cae la responsabilidad de ofrecer un Internet seguro? (al menos en lo que a phissing se refiere) ¿Culpa de los navegadores, las páginas web? ¿Bill Gates?
Dejo la pregunta en el aire, por si alguien se anima a contestar.
Saludos
En el mundo real el único responsable de su seguridad es uno mismo. Lo mismo pasa en el internet. Yo no dejaría a mis amigos salir a la calle si no entienden lo que es un semáforo, o un robaniños. El problema es que en internet no hay cultura de seguridad, pero a la calle nadie sale enseñando su dinero, tarjetas o llaves a media noche en un sitio desconocido.
Yo no lo veo tan grave. Como se ha comentado ya los cuatro navegadores te indican, con más o menos claridad, contra quien te autenticas. Ellos ya han realizado su parte del trabajo, que consiste en informarte de quien te pide tus datos. Si no te fijas y los introduces alegremente entonces la culpa es solo tuya.
No hay ningún programa de ordenador capaz de proteger al usuario contra su propia ignorancia y descuido.
Realmente el poder sacar el cuadro de diálogo ya me parece bastante problemático. Con este sistema el usuario medio (y con algo más de nivel) puede caer en el engaño en un porcentaje muy alto de las veces.
Cuando tienes asumido que te van a pedir usuario y contraseña en un sitio, no te paras a leer, normalmente, lo tecleas y listo.
Está claro que hay que tener buena memoria y saber de que manera te piden esos datos en cada página importante (PayPal nunca me ha sacado un cuadro de diálogo, a mi por lo menos). Y si lo hacen con cuadros de diálogo... pararse a leer todos los datos que nos da el navegador (que no mucha gente lo hace).
Saludos y... al loro!