Luca Annunziata

Safari mobile bucato

Un buco scovato nel browser di iOS 5.1 permette di dirottare iPhone e iPad a insaputa dell'utente. Serve una patch, e la può creare solo Apple

il proof of concept dell'exploit Roma - Quello scovato da David Vieira-Kurz è un bug di WebKit, ma pare che a soffrirne sia essenzialmente Safari per iOS: attraverso un click si può facilmente dirottare il browser di Apple per i dispositivi mobile su una pagina apparentemente legittima ma in realtà caricata in un iframe in grado di ingannare il software di Cupertino. La vulnerabilità sarebbe stata scoperta e verificata sia su iOS 5.0 che sull'ultima versione, la 5.1: è comunque possibile che ne soffrano anche versioni precedenti del browser.

Lo scopritore ha anche messo a disposizione una demo della vulnerabilità, allestendo una pagina apposita con cui testare la sua scoperta: cliccando sul pulsante si viene dirottati su una seconda pagina ospitata dal suo sito, ma la barra degli indirizzi del browser mostra un indirizzo diverso da quello che ospita effettivamente l'HTML caricato.

Naturalmente, un'operazione del genere potenzialmente potrebbe esporre i navigatori armati di iOS a incresciose situazioni nelle quali un sito apparentemente legittimo in realtà sia una copertura per un tentativo di phishing. Apple è stata informata del problema, e solo Cupertino potrà intervenire per sanare questa falla nel browser. (L.A.)
48 Commenti alla Notizia Safari mobile bucato
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)