Blogia
navegaseguro

Spoofing visual

En estos días en los que el spoofing está de moda (tenemos el URL spoofing que acaba de arreglarse en Internet Explorer y la falsificación de la verdadera extensión de los archivos que sigue sin arreglar), a Don Park se le ha ocurrido otra forma de hacerlo. Su idea consiste en nada más y nada menos que sustituir toda la interfaz del navegador por imágenes (incluida la barra de direcciones, claro, en la que puede "dibujarse" cualquier dirección que se desee).

Todo el mundo ha visto abrirse páginas en las que la interfaz del navegador (con su menú y sus botones de atrás y adelante) y la barra de estado no aparecen, pues es un truco muy sencillo de javascript, que se usa, sobre todo, en las pop-ups. Partiendo de ésto, se añaden imágenes que las imiten y, en medio, se pone la copia de la página que se pretende falsificar. Otro javascript, el que se usa para identificar el navegador, sistema operativo y resolución de pantalla que está usando el visitante, completa el truco, presentando distintas imágenes atendiendo a estas tres variables.

En principio, ésto puede conseguirse en cualquier navegador, pero aquellos que soportan temas y/o son personalizables son imposibles de falsificar por este método, a no ser que se esté usando el tema por defecto y no se hayan hecho otros cambios. Así, tenemos que, nuevamente, Internet Explorer es el más vulnerable a un truco como éste (la única manera de personalizar el interfaz de IE es a través de pequeños hacks en el registro de Windows, que, mucho me temo, están fuera del alcance y/o interés del usuario medio).

Como muestra, ha preparado esta página en la que puede verse el resultado (Nota: el segundo javascript del que hablo no se ha incorporado al ejemplo, así que en él sólo se simula IE 6.x sobre Windows XP).

Ésto no es, desde luego, un fallo de seguridad y, para evitarlo, habría que recortar (con un parche o una nueva versión) lo que puede hacerse con javascript sobre las ventanas en todos los navegadores (soy partidario de ello, siempre me ha parecido intrusivo que un webmaster pueda decidir a qué partes de la interfaz de mi navegador tengo acceso en sus páginas). Pero, desde luego, alguien podría ser engañado de esta forma para entregar sus contraseñas o números de tarjetas de crédito, pensando que está en una página confiable.

0 comentarios