Safari nell’€™iPhone rende l’€™utente più esposto al fenomeno phishing

di |
logomacitynet696wide

Lo scrolling delle pagine web su iPhone, nasconde la barra degli indirizzi: un modo per dare più spazio alla pagina da visualizzare, ma anche un sistema che consente a malintenzionati di sfruttare questa caratteristica per far credere agli utenti di navigare su un sito sicuro e affidabile.

Nitesh Dhanjani, ricercatore nel campo della sicurezza informatica, mette in guardia i possessori di iPhone, poiché l’iOS consente ai siti di phishing (specializzati nel furto delle identità) di eludere importanti protezioni dei browser.  I moderni browser non consentono ai siti di modificare arbitrariamente l’URL visualizzato nella barra degli indirizzi, di nascondere quest’ultima o mostrare finti elementi dell’interfaccia utente. Il motivo è semplice: impedire la visualizzazione di indirizzi falsi facendo credere all’utente di stare navigando su un sito sicuro e affidabile. Dhanjani ha mostrato la pericolosità del sistema di scrolling utilizzato in Safari per iOS: quando si scorre una pagina, la barra che mostra l’URL scrolla verso l’alto; questo comportamento potrebbe essere sfruttato per visualizzare una barra indirizzi fasulla, facendo credere all’utente di stare navigando su una pagina sicura. La barra con l’indirizzo reale, a onor del vero, è visualizzata per qualche istante ma questo tempo non è sufficiente e l’utente potrebbe non notare di essere in realtà collegato con un sito diverso da quello con il quale in realtà è collegato. E’ probabile che Apple rimedierà presto al problema; nel frattempo, come sempre, soprattutto quando si visitano siti di Poste, banche o siti di commercio elettronico, è ogni volta bene verificare che l’URL visualizzato e digitato sia effettivamente quello reale. Il fenomeno del phishing sta diventando sempre più diffuso e preoccupante. E’ importante fare attenzione alle false e-mail che sembrano quella di una reale società commerciale (una banca, con logo ufficiale e grafica che ricorda quella del sito dell’azienda), ai messaggi con richieste di login (per connettervi al vostro conto corrente via home banking per fare una verifica dei vostri dati personali.), ai finti siti web con link rapidi che portano a siti apparentemente identici a quelli originali.

 

[A cura di Mauro Notarianni]