El hacker David Leo ha lanzado un exploit con una Prueba de Concepto (PoC) para una vulnerabilidad en Safari que puede ser usada para engañar al usuario haciéndole creer que está en un sitio mientras en realidad está en otro, un auténtico beneficio para los phishers.

"El código es muy simple: las páginas web recargan cada 10 milisegundos usando la función setInterval(); justo antes de que el explorador pueda obtener la página real, por lo que el usuario ve la dirección real de la página en lugar de la falsa", comentó Manuel Humberto Santander Peláez, gestor del SANS ISC.

Leo probó el exploit en el navegador de Safari en un iPad, como se puede observar en la imagen.

Help Net Security probó y trabajó en el exploit, pero sólo funciona hasta que el usuario pasa a otra pestaña abierta.

Un usuario experimentado puede notar en la esquina inferior izquierda de la dirección de la barra (muy débil) un parpadeo de la barra de progreso de carga, además, ésta cambia varias veces de cero a un poco de porcentaje y reinicia, un comportamiento sospechoso aunque muchos usuarios no lo notan.

Con todo esto, aunque el exploit no es perfecto, se puede sin duda utilizar para engañar a algunos usuarios.

A principios de este año Leo demostró un ataque similar contra los usuarios de Internet Explorer.