HTC: un fallo en su página web podría provocar el robo de datos

Iniciado por wolfbcn, 3 Enero 2013, 14:05 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Es poco usual que hablemos de marcas de telefonía en Redeszone, pero en esta ocasión a pesar de que se trate de HTC, no vamos a hablar de ningún modelo de teléfono, sino de un fallo de seguridad en la página web corporativa que podría provocar el robo de datos de los usuarios hasta tal punto que la cuenta utilizada para acceder a dicho portal podría llegar a verse secuestrada por terceras personas utilizando el ataque XSS.

El fallo de seguridad, que ha sido descubierto por un hacker de 16 años, podría provocar que los datos de los usuarios de navegación y de acceso a dicha página web fuesen robados utilizando simplemente un ataque XSS, del cual ya hemos hablado aquí más veces, y una cookie que es utilizada por la página.

Algunos ejemplos de páginas de HTC que se verían afectados por este fallo de seguridad serían:

•Página http://www.htc.com/us/legal/product-security#%22%3E%3Cimg%20src=x%20onerror=void%28document.cookie=prompt%28document.cookie,document.cookie%29%29;%3E

•Página 2 https://eclub.htc.com/us/secure/login#joinTab%22%3E%3Cimg%20src=x%20onerror=void%28document.cookie=prompt%28document.cookie,document.cookie%29%29;%3E

•Página 3 https://eclub.htc.com/us/secure/login#joinTab%22%3E%3Cimg%20src=x%20onerror=void%28document.cookie=prompt%28document.cookie,document.cookie%29%29;%3E

¿Qué supone la utilización del ataque XSS?

Este tipo de ataque supone que el atacante pueda introducir código en la página que el usuario visita y poder ejecutarlo para por ejemplo crear ventanas emergentes. Estas ventanas podrían ser utilizadas para que el usuario insertase sus credenciales de acceso al servicio u otro tipo de datos personales. El usuario lo vería como una menú emergente dentro de la página del fabricante de dispositivos móviles y que sería utilizada posteriormente para redirigir los datos solicitados y obtenidos del usuario a un servidor o a una dirección de correo.

Sin embargo, no es el único problema detectado en la página de HTC

Las cookies mantienen iniciada la sesión en distintos equipos

El investigador también ha podido comprobar como extrayendo las cookies de la página de HTC teniendo iniciada la sesión, se puede ir a otro equipo e iniciar sesión sin necesidad de insertar credenciales de acceso, tan solo copiando la cookie extraída del otro equipo. Esto es un grave fallo de seguridad, ya que si la navegación web del usuario es interceptada y las cookies son robadas, terceras personas podrían iniciar sesión en la páginas utilizando la identidad del usuario.

Por desgracia, este fallo no es único de HTC, ya que a día de hoy existen muchas páginas de internet que los utilizan, poniendo en peligro los datos de los usuarios y lo que es más importante, su identidad en esas páginas.
 
Fuente | The Hacker News

LEIDO EN : http://www.redeszone.net/2013/01/03/htc-un-fallo-en-su-pagina-web-podria-provocar-el-robo-de-datos/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.