3 ago 2011

Iframe Injection: El lobo con piel de cordero

El pasado domingo, vía @GatoVolador, me enteraba del último ataque mediante Iframe Injection que la compañía de telefonía Movistar había recibido. El ataque consistía en un Iframe Injection, es decir, la página Web de Movistar cargaba dentro de una de sus páginas otra página a través de un iframe. Esta página era recuperada por GET mediante un parámetro de la URL (llamado URLFINAL) que no era filtrado de ninguna manera, por lo que permitía la carga de cualquier página externa dentro del iframe.

Este fallo en el desarrollo del sitio Web de Movistar fue aprovechado por un usuario para alabar la calidad de sus servicios, como podéis ver en la siguiente captura:

Como veis, este inocente bug que no pondría en peligro el sitio Web de Movistar, ya que la carga del iframe se hace del lado del cliente, puede tener numerosas repercusiones a través de Ingeniería Social.

Si os fijáis en la URL de la imagen anterior, he tenido que mostrarla en dos partes, porque no entraba en una sola captura. ¿Cuántos de vosotros cuando se encuentra ante una URL tan larga la recorre hasta el final para ver que contiene?, en caso de hacerlo y encontrarse en un caso como este, en el que se ve la página digamos "maliciosa" en el parámetro URLFINAL enseguida nos daríamos cuenta de la gracia, pero como normalmente no lo miramos, podríamos caer en que el sitio Web de Movistar habría sido hackeado, a pesar de no serlo.

Hay casos de Iframe Injection en los que la URL es muy corta y se ve claramente la inyección en el enlace, pero hay en la actualidad un tipo de navegadores Web en los que el campo de la URL es tan corto que apenas se ve el propio dominio, los navegadores de los móviles y PDAs. En este caso si que sería difícil identificar la inyección, a menos que vivamos con el modo paranoico en ON y nos leamos toda la URL.

Hace unos días en Security By Default nos hablaban de otro caso muy parecido al de Movistar de Iframe Injection pero en el Sitio Web de la Fundación Autor:

Imaginaros este bug utilizado en bancos, o en otros sitios Webs más importantes, se podría utilizar esta técnica para robar credenciales con falsos paneles de autenticación, acortadores de URL e ingeniería social,.

En definitiva, si no queréis que un bug catalogado como de baja severidad se transforme en una patada contra la imagen de tu organización, acuerdate de verificar que todas las páginas que se cargan están dentro de tu servidor Web.

Saludos!

3 comentarios:

  1. jeje que bien se ha expresado el chico... Elche... Que cerca lo tengo jajagracias por la noticia Juanan!un saludo!

    ResponderEliminar
  2. [...] a todos, hace unos días hablamos en Flu Project sobre un par de inyecciones que se habían realizado a los sitios Web de Movistar y la Fundación Autor. En estos posts os comentábamos como mediante un bug en el desarrollo de los Sitios Web era [...]

    ResponderEliminar
  3. [...] pero por lo visto, según me indicaron después, esto particularmente recibe el nombre de iframe injection. Como me tenía que ir de la universidad, apunté en un hueco libre de mi Google Calendar que [...]

    ResponderEliminar