Recurso do Safari para iPhone pode ser usado em golpe

Usuários de algum dispositivo rodando iOS já devem ter percebido uma característica interessante no Safari. Ao abrir uma página formatada especialmente para o dispositivo ele esconde a barra de endereços. O Google, por exemplo, faz uso desse recurso em diversos dos seus serviços, incluindo o Gmail. Mas segundo um pesquisador de segurança, esse recurso pode ser explorado por pessoas maliciosas de uma forma bem esperta.

Um hacker pode, por exemplo, criar uma página idêntica à versão móvel d e um banco, usar o recurso de esconder a barra de endereços e exibir logo abaixo dela uma imagem da barra com o endereço real do banco. A imagem abaixo, criada por Nitesh Dhanjani, demonstra muito bem como esse recurso é aplicado. Se você não está convencido, visite esse site criado por Dhanjani do seu iPhone ou iPod Touch e veja como ele funciona ao vivo.

Um usuário distraído não percebe que abriu uma página falsa, coloca seus dados de acesso e o hacker acaba recebendo-os de mão beijada na sua caixa de entrada dois minutos depois, sentado confortavelmente no sofá do porão escuro da casa que ele divide com a mãe. (Estereotipando? Eu?)

O pesquisador disse em seu blog que alertou a Apple dessa falha inesperada. A empresa então respondeu dizendo que está ciente do problema mas não sabe como ou quando irá corrigi-lo.

Esse parece ser o melhor caso de “It’s not a bug, it’s a feature!” que já vi até hoje no iPhone.

Com informações: TUAW.