Czy ten pasek może kłamać? Microsoft Edge był podatny na zmianę paska adresu

Strona główna Aktualności

O autorze

Członkowie Google Security Team napisali kiedyś, że pasek adresu to jedyny godny zaufania wskaźnik bezpieczeństwa we współczesnych przeglądarkach. Dziś już wiemy, że bardzo minęli się z prawdą. Pasek adresu też może kłamać, robił to w Edge'u i do tej pory robi to w Safari.

Atakujący mogą niestety uzyskać kontrolę nad tym „jedynym godnym zaufania” elemencie zapewniającym bezpieczeństwo. Rafay Baloch, badający między innymi bezpieczeństwo przeglądarek, opracował zestaw technik atakowania paska adresu, a przy okazji znalazł kilka poważnych luk w zabezpieczeniach przeglądarek. Możliwe jest na przykład takie przygotowanie kampanii phishingowej, by w pasku adresu wszystkie informacje zgadzały się z tym, co pokazywałaby prawdziwa strona.

Ponieważ upłynęło już zwyczajowe 90 dni od zgłoszenia luki autorom programów, Baloch ujawnił informacje o kolejnej z technice ataku typu Address Bar Spoofing, działającej w Edge'u i Safari. Podczas testów zauważył, że obie przeglądarki zezwalają skryptom JavaScript na aktualizowanie zawartości paska adresu w czasie, gdy strona jest jeszcze ładowana.

Ten fakt można wykorzystać w ataku. Baloch połączył zapytanie wysłane do nieistniejącego portu z opóźnieniem w skrypcie i w ten sposób udało mu się uzyskać dostęp do zmiany zawartości paska adresu. Potem wystarczyło przekierować użytkownika na stronę podszywającą się pod oryginał i przekonać go do podania wrażliwych danych. Przykład można zobaczyć na filmie, gdzie w pasku adresu widzimy adres Gmaila, ale strona jest hostowana gdzieś indziej. Chrome, Firefox i Opera nie są podatne na ten atak.

Na korzyść przeglądarki Microsoft Edge przemawia tu szybka reakcja na zgłoszenie. Luka CVE-2018-8383 została załatana, a poprawka została dostarczona do użytkowników razem z sierpniową paczką aktualizacji Windowsa. Dla porównania firma Apple została poinformowana o bardzo podobnej podatności w Safari tego samego dnia i obiecała poprawkę, ale jeszcze jej nie wydała. Dla niektórych był to już powód, by ogłosić sukces Edge'a i zachęcać do zmiany przeglądarki. Trzeba jednak pamiętać, że cykl aktualizacji Edge'a jest nieco wolniejszy, niż konkurentów. Jedna luka załatana na czas nie oznacza, że Edge jest najbezpieczniejszy.

© dobreprogramy

Komentarze