Español | English
rss facebook linkedin Twitter

Tomando el escritorio

Giorgio Maone, creador de utilidades como NoScript y Flashgot, ha publicado dos ejemplos de como es posible que alguien pueda malintencionadamente ocupar todo el escritorio de modo que, aplicado al phising, pueda simular una página web completa o incluso un escritorio.

Un ejemplo hace uso de un applet de Java , mientras que el otro hace uso de unas pocas líneas de Javascript.

En ambos ejemplos se ve como el atacante puede controlar toda la pantalla, sin quedar rastro de título ni botones. Esta pantalla no se puede minimizar y, si la apariencia es ciertamente lograda, puede engañar fácilmente a un usuario no experimentado. Es de esperar que en los proximos días aparezcan diversos applet similares al del ejemplo que interactuen con el usuario, pudiendo convertirse en una potente herramienta para robar información.

Hay quien opinará que no es una vulnerabilidad del producto de Sun, sino que una característica de java, y quien opinará que desde un navegador no se debería abarcar más espacio que el destinado a mostrar la página web, pero no se puede negar que esta “característica” puede resultar peligrosa.

Para evitar este tipo de engaños, se deberá deshabilitar la visualización de applets de java y/o la ejecución de código javascript en el navegador, o limitar la ejecución de los mismos a dominios de confianza con añadidos como el antes mencionado NoScript (para navegadores basados en mozilla).

Se puede acceder al post original aquí.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login