Czy ten pasek może kłamać? Microsoft Edge był podatny na zmianę paska adresu
Członkowie Google Security Team napisali kiedyś, że pasek adresu to jedyny godny zaufania wskaźnik bezpieczeństwa we współczesnych przeglądarkach. Dziś już wiemy, że bardzo minęli się z prawdą. Pasek adresu też może kłamać, robił to w Edge'u i do tej pory robi to w Safari.
Atakujący mogą niestety uzyskać kontrolę nad tym „jedynym godnym zaufania” elemencie zapewniającym bezpieczeństwo. Rafay Baloch, badający między innymi bezpieczeństwo przeglądarek, opracował zestaw technik atakowania paska adresu, a przy okazji znalazł kilka poważnych luk w zabezpieczeniach przeglądarek. Możliwe jest na przykład takie przygotowanie kampanii phishingowej, by w pasku adresu wszystkie informacje zgadzały się z tym, co pokazywałaby prawdziwa strona.
Ponieważ upłynęło już zwyczajowe 90 dni od zgłoszenia luki autorom programów, Baloch ujawnił informacje o kolejnej z technice ataku typu Address Bar Spoofing, działającej w Edge'u i Safari. Podczas testów zauważył, że obie przeglądarki zezwalają skryptom JavaScript na aktualizowanie zawartości paska adresu w czasie, gdy strona jest jeszcze ładowana.
Ten fakt można wykorzystać w ataku. Baloch połączył zapytanie wysłane do nieistniejącego portu z opóźnieniem w skrypcie i w ten sposób udało mu się uzyskać dostęp do zmiany zawartości paska adresu. Potem wystarczyło przekierować użytkownika na stronę podszywającą się pod oryginał i przekonać go do podania wrażliwych danych. Przykład można zobaczyć na filmie, gdzie w pasku adresu widzimy adres Gmaila, ale strona jest hostowana gdzieś indziej. Chrome, Firefox i Opera nie są podatne na ten atak.
Microsoft Edge Address Bar Spoofing Vulnerability By Rafay Baloch
Na korzyść przeglądarki Microsoft Edge przemawia tu szybka reakcja na zgłoszenie. Luka CVE-2018-8383 została załatana, a poprawka została dostarczona do użytkowników razem z sierpniową paczką aktualizacji Windowsa. Dla porównania firma Apple została poinformowana o bardzo podobnej podatności w Safari tego samego dnia i obiecała poprawkę, ale jeszcze jej nie wydała. Dla niektórych był to już powód, by ogłosić sukces Edge'a i zachęcać do zmiany przeglądarki. Trzeba jednak pamiętać, że cykl aktualizacji Edge'a jest nieco wolniejszy, niż konkurentów. Jedna luka załatana na czas nie oznacza, że Edge jest najbezpieczniejszy.
