Nuova funzionalità di Safari apre le porte a diversi scenari di phishing OCR-based
Articolo originale: Safari is hot-linking images to semi-random websites (PortSwigger; research)Da poco tempo, su Safari ogni immagine può diventare potenzialmente un URL. Ciò è dovuto a un OCR (Optical Character Recognition) troppo aggressivo che ricerca del testo o degli URL all'interno delle immagini hostate sul web, creando però non pochi falsi positivi e aprendo la pista verso potenziali attacchi phishing.
La prima casistica nota che ha "scoperchiato il vaso di Pandora" è stato il link a "zon.com", contenuto all'interno di un immagine di Amazon.com e mostrato, solo su Safari, quando ci si passava sopra con il mouse. Link che, ovviamente, non era stato inserito dagli sviluppatori e che aveva dunque sollevato qualche dubbio di un possibile breach.
La prima casistica nota che ha "scoperchiato il vaso di Pandora" è stato il link a "zon.com", contenuto all'interno di un immagine di Amazon.com e mostrato, solo su Safari, quando ci si passava sopra con il mouse. Link che, ovviamente, non era stato inserito dagli sviluppatori e che aveva dunque sollevato qualche dubbio di un possibile breach.
Dopo diverse analisi non è saltato fuori nulla di strano e non sono state rilevate tracce malevole. Facendo altri test in locale, però, la scoperta: i developers hanno creato e caricato un'immagine che conteneva la scritta "amazon.com". Aprendo la pagina appena creata con Safari e passando il mouse sull'immagine, ecco comparire un nuovo menù denominato "quick look" con il rispettivo link vero amazon.com!
Questa comportamento e questo menù sono dovuti a una funzione di Safari che cerca di analizzare gli URL nelle immagini. Poiché il logo di Amazon ha una freccia sotto di sé, l'OCR si "rompe" e l'URL analizzato risulta essere solo Zon.com.
Ad ora qualsiasi immagine caricata su un sito web può incorporare un URL in Safari!
Gli attori malevoli potrebbero sfruttare questa problematica di Safari per registrare tutti i "mis-URL" identificati - erroneamente - da Safari e ingannare tramite campagne di phishing ad-hoc i malcapitati che per sbaglio cliccano o aprono quelle immagine. Seppur l'impatto sia limitato ai soli utenti Safari, le numeriche sono comunque alte (secondo alcuni studi, il 18,48% degli internauti utilizza Safari)
Questa comportamento e questo menù sono dovuti a una funzione di Safari che cerca di analizzare gli URL nelle immagini. Poiché il logo di Amazon ha una freccia sotto di sé, l'OCR si "rompe" e l'URL analizzato risulta essere solo Zon.com.
Ad ora qualsiasi immagine caricata su un sito web può incorporare un URL in Safari!
Gli attori malevoli potrebbero sfruttare questa problematica di Safari per registrare tutti i "mis-URL" identificati - erroneamente - da Safari e ingannare tramite campagne di phishing ad-hoc i malcapitati che per sbaglio cliccano o aprono quelle immagine. Seppur l'impatto sia limitato ai soli utenti Safari, le numeriche sono comunque alte (secondo alcuni studi, il 18,48% degli internauti utilizza Safari)
Utenti di Safari, dunque, fate attenzione! Come possa esser stata approvata una funzionalità del genere, così eccessivamente error-prone, non me lo spiego. Resta il fatto che nei prossimi giorni verranno registrati sempre più url simili a zon.com etc. per tentare di portare avanti truffe e attività fraudolente di ogni tipo. Occhi aperti 
Made with ❤ for Inforge
