Portada
mis comunidades
otras secciones
#12:
Esto no es un problema con los navegadores, esto es así y se sabe que es así. El usuario debe mirar en que URL pone sus datos.
De hecho no pasa sólo con los tabs, también pasa con los frames, iframes y popups y ha pasado siempre. Pero repito, no es un error, es así.
Sería un problema de seguridad si en la URL siguiera diciendo gmail.com, pero no lo hace.
De hecho no pasa sólo con los tabs, también pasa con los frames, iframes y popups y ha pasado siempre. Pero repito, no es un error, es así.
Sería un problema de seguridad si en la URL siguiera diciendo gmail.com, pero no lo hace.
#27:
Dejando de lado el tema de si el ataque es interesante o no, o si algunos antivirus pueden detectarlo (interesante ese tema, estaría bien saber como lo detectan, me ha sorprendido mucho)
Me sorprende enormemente que alguien pueda decir que esto no es un problema o que esto es lo mismo que el tabnabbing.
En primer lugar, claro que es así, html fué diseñado así y nadie lo pone en duda, pero es que cuando existe una funcionalidad documentada y aceptada que luego se descubre que puede tener usos maliciosos (tan maliciosos que hasta el antivirus salta, pero el navegador no puede depender de eso...) se le llama fallo de diseño.
En este caso, estamos ante una funcionalidad conocida y aparentemente inocente, que permite hacer exactamente lo siguiente:
1. El usuario abre gmail desde un enlace de menemae.net o de un blog
2. El usuario ve su gmail legítimo, con su cuenta, y con todo, la url coincide además
3. En un momento escogido por el atacante, ESE tab, el que tiene gmail y estás viendo tus correos, se REDIRECCIONA en cuestión de milisegundos a un gmail falso, sin que se vea NADA.
¿En serio alguien piensa que esto no es grave, solo por que "fué diseñado así"?
Imaginaros el usuario de a pié, ¿como puede defenderse de un ataque como este? El usuario normal no va a estar mirando la url cada 3 segundos, o justo antes de cada acción.
Yo dejo una pregunta en el aire:
¿Desde que habéis entrado a meneame hoy, cuantas veces habéis mirado la URL?
Creo sinceramente que es bueno hacer un ejercicio de reflexión y pensar si esto, que ha sido pensado así, es peligroso o no para el usuario de a pié, y como esto puede ser usado para phishing.
Me sorprende enormemente que alguien pueda decir que esto no es un problema o que esto es lo mismo que el tabnabbing.
En primer lugar, claro que es así, html fué diseñado así y nadie lo pone en duda, pero es que cuando existe una funcionalidad documentada y aceptada que luego se descubre que puede tener usos maliciosos (tan maliciosos que hasta el antivirus salta, pero el navegador no puede depender de eso...) se le llama fallo de diseño.
En este caso, estamos ante una funcionalidad conocida y aparentemente inocente, que permite hacer exactamente lo siguiente:
1. El usuario abre gmail desde un enlace de menemae.net o de un blog
2. El usuario ve su gmail legítimo, con su cuenta, y con todo, la url coincide además
3. En un momento escogido por el atacante, ESE tab, el que tiene gmail y estás viendo tus correos, se REDIRECCIONA en cuestión de milisegundos a un gmail falso, sin que se vea NADA.
¿En serio alguien piensa que esto no es grave, solo por que "fué diseñado así"?
Imaginaros el usuario de a pié, ¿como puede defenderse de un ataque como este? El usuario normal no va a estar mirando la url cada 3 segundos, o justo antes de cada acción.
Yo dejo una pregunta en el aire:
¿Desde que habéis entrado a meneame hoy, cuantas veces habéis mirado la URL?
Creo sinceramente que es bueno hacer un ejercicio de reflexión y pensar si esto, que ha sido pensado así, es peligroso o no para el usuario de a pié, y como esto puede ser usado para phishing.
#7:
O la gente ha optado a no leer la noticia entera o no se ha entendido el concepto. El problema está en que el navegador mantiene en memoria la acción a realizar del "timeout" de la página ya abandonada. ¿Porqué no ha borrado el navegador esta acción al cambiar de contexto (página)? La verdad es que este ataque es tan lógicamente absurdo como eficazmente aberrante. Y sí, creo que a nivel de cliente hay maneras de evitar esto, pero eso no justifica que los diferentes navegadores no sean vulnerables (y por lo tanto, tengan que plantear parches). ¡Felicidades una vez más por tan maravilloso artículo!
#13:
#12 En mi opinión, que una página en el dominio "a.com" pueda secuestrar una pestaña que pertenece a b.com es un problema de seguridad innegable, de tipo cross domain.
El problema reside en que el usuario no puede mirar cada segundo la barra de direcciones, y en el momento que una pestaña puede secuestrar a otra y eso no queda claro para el usuario, en cualquier momento te dan el cambiazo, mientras tu navegabas por gmail.com
El problema reside en que el usuario no puede mirar cada segundo la barra de direcciones, y en el momento que una pestaña puede secuestrar a otra y eso no queda claro para el usuario, en cualquier momento te dan el cambiazo, mientras tu navegabas por gmail.com
Comentarios
Esto no es un problema con los navegadores, esto es así y se sabe que es así. El usuario debe mirar en que URL pone sus datos.
De hecho no pasa sólo con los tabs, también pasa con los frames, iframes y popups y ha pasado siempre. Pero repito, no es un error, es así.
Sería un problema de seguridad si en la URL siguiera diciendo gmail.com, pero no lo hace.
#12 En mi opinión, que una página en el dominio "a.com" pueda secuestrar una pestaña que pertenece a b.com es un problema de seguridad innegable, de tipo cross domain.
El problema reside en que el usuario no puede mirar cada segundo la barra de direcciones, y en el momento que una pestaña puede secuestrar a otra y eso no queda claro para el usuario, en cualquier momento te dan el cambiazo, mientras tu navegabas por gmail.com
#13 No se secuestra nada, se abre una página en una ventana desde la misma página que se ha abierto esta ventana. No hay problema alguno... No hay problema tipo cross domain ya que no puedes ni escribir ni leer del otro dominio.
Sería un secuestro si pudieras acceder a una página de otro dominio o si pudieras abrir una URL en una ventana / pestaña que no ha sido abierta desde esta página.
Aquí en todo caso el error es del usuario de fiarse de una ventana abierta desde una página no de confianza y no revisar la URL antes de poner los datos.
#13 "Aquí en todo caso el error es del usuario de fiarse de una ventana abierta desde una página no de confianza y no revisar la URL antes de poner los datos"
Algo bastante común con la autenticación mediante oAuth y/o openID; el artículo no lo comenta así que preguntaré: puedes controlar el comportamiento de una ventana emergente, ¿se puede ocultar la barra de direcciones?. Siendo así, solo te puedes fiar mirando a dónde apunta el enlace ...
Igual me pregunto el comportamiento en móviles donde, por aprovechar espacio se oculta la barra de direcciones.
#15 Tampoco te puedes fiar mirando a dónde apunta el enlace, pues el enlace puede apuntar a una url pero se podría haber añadido un evento javascript que al pulsar en ese enlace lleve a una url diferente.
#16 Así es. Cambia el "ganar millones" por botones de "identificate con facebook" o "busca tus amigos de Gmail" o "paga con paypal" y demáses por el estilo que hoy por hoy son muy utilizados.
#17 ... ese es exactamente el problema.
Lo del antivirus, me supongo es más por el reporte del sitio como pishing que la detección del comportamiento en sí.
#31 Sobre el antivirus, no creo, en #30 explica muy bien la razón. Me parece cojonudo.
#32 no estaba ese comentario para cuando escribía. Y sí, es ... interesante, y preocupante: Eso de que en GNU/Linux no se necesita antivirus ...
#34 muy buena reflexión... y no solo aplicable a este ataque:
- Clickjacking
- Algunos csrf especiales
- Tab nabbing
- Tab hijacking
Todos estos ataques son peligrosos para el usuario que no sea MUY experto, o para un usuario experto ante cualquier pequeño fallo, inducido por un entorno especialmente creado para engañarle.
Los antivirus cada vez mas toman una posición de protectores del usuario, incluyendo estas amenazas independientes del sistema operativo, y no se limitan a mirar si un exe es malicioso o no.
Yo recomendaría antivirus en mac y en GNU/Linux sin lugar a dudas, o al menos una versión reducida de ellos que compruebe estas cosas, como hacen ya los antivirus de windows.
#34 Lo cierto es que no debería necesitarlo, el navegador debería avisar de este comportamiento, dándo la opción de seguir con el cambio, hacerlo solo para ese sitio, o no permitir el cambio. Eso a mi me parecería la más correcto.
#34 Pues igual hay que empezar a desarrollarlo... ¿Alguien se anima? Yo si, pero nunca he programado para UNIX, necesitaría ayuda.
#36 Ya existen antivirus para Linux: http://www.clamav.net
Lo que no me consta que exista (me puedo equivocar) son "detectores de phising" o como sea que queramos llamar al software que detectaría esto (que, al fin y al cabo, no es un virus).
Supongo que lo que deben hacer en Windows es "interceptar" el tráfico de Internet para analizarlo. Uhmm... la verdad es que un software así estaría muy interesante.
#38 Me gusta!
#41 #40 #38 es importante entender bien el ataque para darse cuenta de que eso no te protege de nada en el caso de tab hijacking, aunque si lo haría en el caso de tabnabbing.
En el caso de tab hijacking, tu desde meneame seguirías un enlace por ejemplo que te ha llevado a la web de tu banco, tu no te fías, y revisas la url, y efectivamente, es la web de tu banco.
En este momento, introduces los credenciales incorrectos en la web de tu banco autentica, que los comprueba y detecta que son incorrectos. Te sale un mensaje indicando que los credenciales no son correctos. Entonces, salta el temporizador que hay puesto en OTRA pestaña del navegador, y te redirecciona de forma INVISIBLE la pestala ACTUAL con la que estás trabajando, la de tu banco.
Entonces, en el primer login estabas en la web de tu banco legítima, en el segundo ya no lo estabas: tu no has tocado nada, pero otra pestaña de tu navegador, que además es de una web que no tiene nada que ver, te ha redireccionado la pestaña en la que estás trabajando con tu banco, y lo ha hecho muy rápido y de forma invisible.
La consecuencia de que esto sea viable, y de que hoy en día window.open se abra en una nueva pestaña igual que cualquier otro enlace, es que tu no puedes fiarte de que en cualquier momento y sin que tu hagas nada, no te reemplacen la web LEGÍTIMA de tu banco, la autentica, por una falsa, pero además te la reemplaza justo mientras estabas operando con tu banco, de forma normal.
#37 GOTO #43
#43 Si no he entendido mal por los comentarios (el enlace está caído), el ataque se origina cuando abres la web desde un enlace ¿no? ¿Se podría evitar este tipo de ataques entrando directamente a la web (gmail, banco), escribiendo directamente la dirección en lugar de hacerlo a través de un enlace?
#36 ¿no bastaría con un plugin para el navegador, o un script de greasemonkey?
#51 Yo creo que no, es decir, en principio si, pero yo creo que estas cosas conviene aglutinarlas todas (para facilitar su instalación a los que no saben mucho), y a poder ser que no sea para un único navegador.
#34 Pues no, el mayor peligro es un pantallazo de login timeout...
#13 Es un problema de seguridad, pero tiene matices, es como decir que un problema de seguridad de una puerta es que el usuario abra la puerta sin preguntar quién es, antes. Luego que se puedan hacer puertas con mirillas, telefonillos o cámaras es otra cosa. Pero decir que es un problema de la puerta es por lo menos impreciso.
En fin, no he podido leer artículo, ahora mismo no carga la página, en todo caso me da la impresión de que noscript ayudaría mucho.
O la gente ha optado a no leer la noticia entera o no se ha entendido el concepto. El problema está en que el navegador mantiene en memoria la acción a realizar del "timeout" de la página ya abandonada. ¿Porqué no ha borrado el navegador esta acción al cambiar de contexto (página)? La verdad es que este ataque es tan lógicamente absurdo como eficazmente aberrante. Y sí, creo que a nivel de cliente hay maneras de evitar esto, pero eso no justifica que los diferentes navegadores no sean vulnerables (y por lo tanto, tengan que plantear parches). ¡Felicidades una vez más por tan maravilloso artículo!
#7 te equivocas. El timeout está corriendo en la página desde la que abriste el enlace.
#9 tienes razón. Se abre una nueva ventana y todo sucede en esta. Intenté rizar el rizó y la lie.
Dejando de lado el tema de si el ataque es interesante o no, o si algunos antivirus pueden detectarlo (interesante ese tema, estaría bien saber como lo detectan, me ha sorprendido mucho)
Me sorprende enormemente que alguien pueda decir que esto no es un problema o que esto es lo mismo que el tabnabbing.
En primer lugar, claro que es así, html fué diseñado así y nadie lo pone en duda, pero es que cuando existe una funcionalidad documentada y aceptada que luego se descubre que puede tener usos maliciosos (tan maliciosos que hasta el antivirus salta, pero el navegador no puede depender de eso...) se le llama fallo de diseño.
En este caso, estamos ante una funcionalidad conocida y aparentemente inocente, que permite hacer exactamente lo siguiente:
1. El usuario abre gmail desde un enlace de menemae.net o de un blog
2. El usuario ve su gmail legítimo, con su cuenta, y con todo, la url coincide además
3. En un momento escogido por el atacante, ESE tab, el que tiene gmail y estás viendo tus correos, se REDIRECCIONA en cuestión de milisegundos a un gmail falso, sin que se vea NADA.
¿En serio alguien piensa que esto no es grave, solo por que "fué diseñado así"?
Imaginaros el usuario de a pié, ¿como puede defenderse de un ataque como este? El usuario normal no va a estar mirando la url cada 3 segundos, o justo antes de cada acción.
Yo dejo una pregunta en el aire:
¿Desde que habéis entrado a meneame hoy, cuantas veces habéis mirado la URL?
Creo sinceramente que es bueno hacer un ejercicio de reflexión y pensar si esto, que ha sido pensado así, es peligroso o no para el usuario de a pié, y como esto puede ser usado para phishing.
#27 Si ocurriese eso, estarías de nuevo en la pantalla de login de gMail (el falso) por lo que deberias desconfiar. Sólo veo el peligro se la redirección se hace antes de enviar el login, por lo que se debe mirar la url antes del envío y no al llegar.
#27 no dice que el tab de GMAIL sea el reemplazado. Si no que el tab de la página maliciosa.com simula una página con todo el aspecto de gmail tras un timeout, inclusive el favicon.
Como dicen por ahí, lo que debería ocurrir es que el navegador ignore el timeout si el tab no está activo, porque no podría hacer mucho más. O que el navegador avise que se está a punto de reemplazar todo el html de la página en un tab no activo, también sería factible.
#50 soy el autor del post, es el tab de GMAIL el que es reemplazado, esto no es tabnabbing, es tabhijacking, te recomiendo que pruebes el ejemplo, siento si la explicación no ha sido del todo clara, pero explicar todo esto es un poco difícil sin verlo
Creo que mucha gente lo ha entendido mal, debido a que hubo un ataque hace poco muy similar que consistía en simular gmail desde otro tab. ESTE ATAQUE NO CONSISTE EN ESO.
En este caso, tu estás en gmail.com y de pronto ESE tab es reemplazado por la web que el atacante quiera, en cualquier momento, aunque estés usando gmail en ese preciso momento.
Me resulta increíble que alguien diga que esto no es un problema...
#53 Opera en el netbook bloquea la página de php y me avisa, si le doy a desbloquear la abre en otra pestaña pero no sustituye la de gmail. Firefox sí sustituye la de gmail con lo cual si sería vulnerable, pero Opera no (al menos con tu ejemplo).
Antigua. Y puede ser más elaborado aún, por ejemplo, comprobando mediante JavaScript que la pestaña no está activa en ese momento, para cambiarla cuando no la estés mirando: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
#5 no tiene absolutamente nada que ver, pero bueno.
Una cosa es simular que una web maliciosa es gmail, otra muy distinta es abrir gmail legítimo en un tab, y luego reemplazarlo, en su propio tab, sin que el user quiera ni se entera, con la url que tu quieras y cuando tu quieras.
#18 GOTO #6
No es eso, es un ataque diferente.
phising!?!?!? yo no quiero q me metan un puño por el cul*!
Mi formula siempre es la siguiente:
Entro en una pagina (por ejemplo la del Banco "X")
Cuando me pide las credenciales, SIEMPRE pongo primero un código INCORRECTO.
En este caso me aseguro que el sitio web donde entro me tiene que dar un ERROR de VALIDACIÓN. A partir de aquí ya estoy seguro que es la web correcta y pongo los datos correctos.
#38 En este caso tampoco estas seguro, por que el redireccionamiento puede hacértelo despues de que metas el incorrecto.
#39 Pero si es un banco falso, no sabe que es incorrecto y lo pillas...
#41 Te quiero decir, que lo que te puede ocurrir es lo siguiente:
- Metes mal el código.
- Te devuelve a la ventana de login.
- Salta el redireccionador.
- Te redirige a la página falsa.
- Metes bien el código.
Ciertamente, disminuyes las posibilidades, pero sigue sin ser seguro ante este caso en particular.
con lo lento que va mi ordenador y mi conexión, esos milisegundos pasarian a ser unos pocos segundos, me daria cuenta, ni antivirus ni nada
Osea que cada vez que pidan la contraseña hay que remirar la url.
#4 "incluso si este usuario comprueba la URL antes de introducir sus credenciales" ni por esas
A mi, Firefox me previene la apertura automática, sin yo pulsar, de ventanas emergentes, mientras que TabMixPlus me abre los enlaces a ventanas emergentes que pulso en pestañas nuevas, con lo que el engaño no funciona, comprobado: la página de php.net ni se llega a abrir, en el ejemplo
Esta noticia tiene al menos un año, la publicó un desarrollador de Mozilla en su blog bajo el nombre de tab-napping: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
Lo mejor es que el propio blog lo hace: si cambias de pestaña y vuelves a la misma poco después, verás que se ha convertido en GMail.
PD: A mí me ha saltado el antivirus ahora y no lo ha hecho, pero recuerdo perfectamente que flipé la primera vez que lo vi.
#18 A mí también me lo ha detectado el antivirus.
#18 #21 ¿qué antivirus usáis?
#18 #21 #26 A mi también me lo ha detectado el antivirus. Uso AVG y me ha notificado:
Se bloqueó amenaza
Archivo: www.azarask.in/projects/bgattack.js
Amenaza nombre: Vulneración Tabnabbing (type 349)
Me ha sorprendido positivamente este antivirus
Relacionada Atentos a una nueva forma de phishing: el tabnabbing
Atentos a una nueva forma de phishing: el tabnabbi...
genbeta.com¿Esto no se evitaría deshabilitando el redireccionamiento automático, por ejemplo? ¿el navegador no salta cuando pasas de un dominio seguro a otro sin htttps?
#1 No, eso no sucede (que yo sepa) a no ser que sea usando iframes, pero la forma de hacerlo explicada no debería desatar ningún aviso en el navegador.
#1 Chrome podría mostrar una barra diciendo "el navegador impidió la redirección…"
No se, me parece dificil solución, yo no lo veo cómo un error, es una característica que puede ser muy útil. Por ejemplo:
- Tienes una galería de imágenes.
- Al hacer click en una imágen, se abre una nueva pestaña con la imágen a tamaño grande.
- Si haces click en otra imágen de la pestaña original, en vez de abrir una tercera pestaña, recarga la nueva imágen en la segunda pestaña.
(Este ejemplo se podría hacer de otras maneras sin peligros, pero es solo un ejemplo rápido)
Esto es algo que no hay ninguna razón por la que no se deba poder hacer. Asi que no creo que los navegadores deban cambiar nada.
Es como decir que, como con Javascript puedes cambiar el destino de un enlace o formulario, hay que quitar Javascript.
Solo queda ser más cuidadosos con por donde navegamos y comprobar la url al hacer click en enviar datos y no al llegar a la página.
#0 NO es un error, es una feature: para que los que controlan el poder puedan controlar también a la gente...
¿¿¿Qué tipo de cambios se vería en la URL si te hacen alguna cosa de estas, por ejemplo???
Según quiero entender, esto sólo funciona si pulsas un enlace a la página en cuestión a la que se quiere realizar el phising. Algo así como "Pulsa aquí para ganar millones", pero con Gmail y demás, ¿no?
Desde el móvil con opera y configuración por defecto, no me redirecciona el link que pone de ejemplo, de lo que debería de deducir que a mi móvil no le afecta el problema.
En Chrome 15.0.874.106 m funciona
Menuda mierda de exploit. He usado la prueba de concepto y caer en ella es difícil, creo. A mí me ha saltado a la vista.
Si por "navegadores" se entiende a los usuarios que estan delante del ordenador el titular tiene mucho más sentido.
Lo que abre las puertas al phising es el usuario inexperto. Para todo lo demás, SuperCard.
Según he leído luego clonan a Punset que sale del equipo y te sodomiza.
#3 tu comentario es el típico comentario "ruleta rusa" igual la gente te pone en gris que en colorao según no se sabe bien que parámetros karmicos
misterios de la humanidad
#55 Totalmente de acuerdo. En todo caso, hablando de Karma, si basaramos siempre nuestra acción en la reacción ajena, perderíamos nuestra libertad de expresión y acción. Hoy tengo 15, mañana igual 6... Es más una cuestión de lanzarse y ver si hay piscina debajo