Safari entre sete navegadores móveis afetados por vulnerabilidades de falsificação da barra de endereços

Postado em 2021-07-30
News
Safari entre sete navegadores móveis afetados por vulnerabilidades de falsificação da barra de endereços

2021-07-30

Pesquisadores da empresa de segurança cibernética Rapid7 alegaram que vários navegadores móveis populares são vulneráveis ​​a dez novas vulnerabilidades de ‘Address Bar Spoofing’, comprometendo assim a privacidade e a segurança digital de seus usuários. De acordo com o relatório, os navegadores afetados incluem Safari, Opera Touch, Opera Mini, Bilt, RITS, UC Browser e Yandex Browser.

Os problemas foram descobertos no início deste ano por pesquisadores do Rapid7 em associação com o analista de segurança cibernética do Paquistão, Rafay Baloch, e foram relatados aos respectivos desenvolvedores em agosto. Embora a Apple já tenha lançado uma correção para o Safari, a Opera diz que vai lançar um patch em 11 de novembro. O restante dos desenvolvedores teria ignorado os avisos ou falhado em acompanhar após uma resposta inicial.

Embora a falsificação da barra de endereço exista desde os primeiros dias da world wide web, a maioria dos navegadores de desktop adicionou várias camadas de proteção ao longo dos anos para evitar que os sites ocultem sua verdadeira identidade dos visitantes. No entanto, graças à restrição de espaço em dispositivos móveis, algumas das verificações de segurança para falsificação não podem ser facilmente acomodadas em dispositivos móveis, tornando-os muitas vezes mais vulneráveis ​​a tais ataques.

Explicando como funciona a falsificação da barra de endereço, os pesquisadores disseram que “a exploração se resume a‘ travessuras de Javascript ’”. De acordo com o diretor de pesquisa da Rapid7, Tod Beardsley, “alterando o tempo entre os carregamentos da página e quando o navegador tem a chance de atualizar a barra de endereço, um invasor pode fazer com que um pop-up pareça vir de um site arbitrário ou pode renderizar conteúdo na janela do navegador que falsamente parece vir de um site arbitrário ”.

Você pode aprender mais detalhes técnicos sobre as descobertasno site da Baloch ou no blog Rapid7.