• Tweet

Un investigador de seguridad se percató que el uso de navegadores embebidos en aplicaciones móviles, puede hacer que éstas sean vulnerables a ataques de Cross Site Scripting.

Desarrolladores de software móvil encontraron lo efectivo que puede ser embeber el navegador web del sistema operativo de un smartphone, para después crear su propia interfaz usando HTML, CSS y JavaScript. La interfaz de usuario es portable a otros dispositivos, y es muy sencillo personalizarla mediante CSS. Pero esta conveniencia tiene un costo.

El investigador Kyle Osborn, quien estuvo presentando sus hallazgos en TakedownCon, encontró que algunos desarrolladores no limpian los datos antes de enviarlos mediante su interfaz de usuario.

En la aplicación de Google Earth, para iPad, se encontró que es posible embeber JavaScript en el campo de información de localidad. Al momento de demostrar la falla, Osborn explicó que cuando un usuario busca algún lugar,  puede inyectar código JavaScript. Esto lo demostró  al ejecutar su prueba de concepto, pues se desplegó el archivo /etc/hosts. Google reparó la falla del lado del servidor, sin necesidad de modificar el software del cliente.

El impacto de la vulnerabilidad es limitado, en este caso no se rompió el ambiente controlado de pruebas de aplicaciones, y cuando la instancia del navegador es embebida, no tiene acceso a las cookies, ni a ninguna otra información almacenada por una sesión normal de navegador. 

Con más y más aplicaciones utilizando navegadores integrados en dispositivos móviles y en computadoras de escritorio, la posibilidad de ataques, capaces de hacer uso eficaz de los datos sin limpiar para inyectarse en el formulario HTML, aumentará.  

Skype es una aplicación para iPhone que sufrió un ataque XSS en septiembre, y su aplicación de escritorio también fue atacada en julio. Los desarrolladores de aplicaciones que integraron un navegador web en esta aplicación deben asegurarse de seguir las mismas reglas que un desarrollador de aplicaciones web debe seguir cuando envía datos a la interfaz. Por ejemplo, asegurarse de impedir etiquetas HTML o scripts embebidos.

Una versión de la conferencia de Osborn está disponible en línea.