El navegador Firefox facilita técnicas de phising Mozilla Firefox permite que un sitio Web remoto pueda mostrar una imitación de la interfase del propio navegador. De este modo, un pirata informático, utilizando Javascript, puede hacer que la verdadera interfase de usuario se pueda reemplazar por una falsa, haciendo pensar a la víctima, que está visitando un sitio seguro.
Para ello se puede utilizar XUL, un lenguaje basado en XML con el que el propio Firefox construye sus menús, botones, cajas de diálogo y la mayoría de los elementos que conforman su verdadera interfase UI.
Las implicancias de seguridad de este truco ya fueron consideradas en 1999, en un reporte de Mozilla.org (Mozilla Bug 22183,
http://bugzilla.mozilla.org/show_bug.cgi?id=22183).
Sin embargo, la Mozilla Foundation mantuvo este fallo oculto hasta que recientemente un investigador lo hizo público mediante una demostración que simula una entrada al sitio de pagos en Internet, PayPal (
http://www.nd.edu/~jsmith30/xul/test/spoof.html).
La demostración toma ventajas del hecho que el navegador Mozilla Firefox está diseñado para interpretar en todo momento las aplicaciones Web escritas en XUL.
La interfase entera de Firefox está contenida en un archivo XUL no mayor de 70 Kb (/chrome/browser.jar!content/browser/browser.xul). Lo sorprendente es que con muy pocas modificaciones, ese mismo archivo puede convertirse en una aplicación Web maliciosa.
En la demostración se ha modificado la barra de direcciones para que siempre muestre la dirección "https:/ /www .paypal .com/" y la barra de estado el candado que indica la seguridad SSL. Adicionalmente, un código en Javascript hace que una ventana con información de seguridad falsa (incluido un certificado que simula ser legítimo), aparezca cuando se hace doble clic sobre el icono del candado.
Aunque algunas de las características de la falsa interfase son difíciles de modificar, como la barra de herramientas personalizada, menú de señaladores --bookmarks--, etc., un programador malicioso con tiempo y habilidad, podría conseguir aplicar otras características falsas.
El truco puede implementarse engañando al usuario para que visite un determinado sitio, o por medio de un mensaje electrónico que lo lleve a ingresar sus datos confidenciales (comercio electrónico, tarjeta de crédito, transacciones bancarias, etc.). Existen miles de ejemplos de estas técnicas de "pishing" (recibe este nombre toda técnica utilizada para obtener información confidencial, suplantando mediante engaños al usuario o sitio original).
Los desarrolladores de Mozilla están buscando algún método que haga que una falsificación de este tipo sea notoria para el usuario. La solución más probable podría ser que la barra de estado fuera forzada a quedar siempre visible, como Microsoft hará con el próximo Service Pack 2 del Internet Explorer 6.
Más información
Bugzilla Bug 22183
http://bugzilla.mozilla.org/show_bug.cgi?id=22183Bugzilla Bug 252198
http://bugzilla.mozilla.org/show_bug.cgi?id=252198Bugzilla Bug 252811
http://bugzilla.mozilla.org/show_bug.cgi?id=252811Spoof (demostración)
http://www.nd.edu/~jsmith30/xul/test/spoof.htmlPublicado por:
http://www.vsantivirus.com/vul-firefox-xul.htm
