Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.
*******
La semana pasada se dio a conocer en el blog de James Fisher (EN) que Chrome para Android era vulnerable a un ataque de barra de navegación flotante (Address Bar Spoofing en el argot técnico) que curiosamente ha sido recogido en varios medios tecnológicos.
Y digo que es curioso porque realmente el ataque no es nuevo. Ya por 2012 ocurrió lo mismo con Safari para iOS y MacOS (EN) y desde entonces hemos visto situaciones parecidas prácticamente cada ciertos meses (ES).
Sea como fuere, lo cierto es que nunca había hablado de esta tipología de phishing, y lo cierto es que me parece lo suficientemente interesante como para comentarla en esta pieza.
¿Qué es un ataque de barra de navegación flotante?
Básicamente hay que tener en cuenta que la mayoría de navegadores móviles ocultan la barra de navegación cuando hacemos scroll down, y la vuelven a mostrar cuando vamos hacia arriba, ya que se entiende que si queremos volver a subir es quizás para realizar otra búsqueda o acceder a la interfaz propia del navegador.
De esta manera, aprovechamos al máximo la pantalla en la navegación, y no perdemos la funcionalidad de la barra de navegación cuando realmente la necesitamos.
Ahora bien, imagínate el atractivo que tendría (para los malos) la posibilidad de cambiar la barra de navegación de la aplicación por un elemento creado dentro de la propia página, que fuera a ojos del usuario exactamente igual que la barra, pero que por supuesto hiciera lo que nosotros quisiéramos.
Eso mismo es lo que se consigue con un spoofing de la barra.
- Cuando el usuario entra en la página ve la barra de navegación original (la de la aplicación).
- Empieza a navegar por la web y la barra, como es normal, se oculta.
- Pero el truco está en que una vez que vuelve a subir, la web bloquea la aparición de la barra superponiendo un elemento que es en diseño exactamente igual que la barra de navegación, pero que realmente ha sido creado por el desarrollador, y que por supuesto, nos llevará a donde éste quiera.
Da igual lo que escribamos, ya que a efectos prácticos estaremos enviando un formulario o una petición dentro de la propia página, no en la aplicación de navegación, y por ende subjetivado a los intereses maquiavélicos de quien lo haya puesto.
¿Hay maneras de protegerse de este tipo de ataques?
Realmente pocas sin participación de los propios navegadores. Es decir, sin un parche que desbloquee el mostrar el botón de atrás en Chrome para Android, en este caso.
La única que se me ocurre es que, ante la duda, bloqueemos y desbloqueemos el dispositivo. Esto fuerza a la aplicación a mostrar toda su interfaz, y por tanto, a saltarse ese bloqueo vía web.
Te dejo para terminar en el blog un ejemplo de cómo funciona el ataque.
________
Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.