Atakujący mogą niestety uzyskać kontrolę nad tym „jedynym godnym zaufania” elemencie zapewniającym bezpieczeństwo. Rafay Baloch, badający między innymi bezpieczeństwo przeglądarek, opracował zestaw technik atakowania paska adresu, a przy okazji znalazł kilka poważnych luk w zabezpieczeniach przeglądarek. Możliwe jest na przykład takie przygotowanie kampanii phishingowej, by w pasku adresu wszystkie informacje zgadzały się z tym, co pokazywałaby prawdziwa strona.
Ponieważ upłynęło już zwyczajowe 90 dni od zgłoszenia luki autorom programów, Baloch ujawnił informacje o kolejnej z technice ataku typu Address Bar Spoofing, działającej w Edge'u i Safari. Podczas testów zauważył, że obie przeglądarki zezwalają skryptom JavaScript na aktualizowanie zawartości paska adresu w czasie, gdy strona jest jeszcze ładowana.
Ten fakt można wykorzystać w ataku. Baloch połączył zapytanie wysłane do nieistniejącego portu z opóźnieniem w skrypcie i w ten sposób udało mu się uzyskać dostęp do zmiany zawartości paska adresu. Potem wystarczyło przekierować użytkownika na stronę podszywającą się pod oryginał i przekonać go do podania wrażliwych danych. Przykład można zobaczyć na filmie, gdzie w pasku adresu widzimy adres Gmaila, ale strona jest hostowana gdzieś indziej. Chrome, Firefox i Opera nie są podatne na ten atak.
Microsoft Edge Address Bar Spoofing Vulnerability By Rafay Baloch
Na korzyść przeglądarki Microsoft Edge przemawia tu szybka reakcja na zgłoszenie. Luka CVE-2018-8383 została załatana, a poprawka została dostarczona do użytkowników razem z sierpniową paczką aktualizacji Windowsa. Dla porównania firma Apple została poinformowana o bardzo podobnej podatności w Safari tego samego dnia i obiecała poprawkę, ale jeszcze jej nie wydała. Dla niektórych był to już powód, by ogłosić sukces Edge'a i zachęcać do zmiany przeglądarki. Trzeba jednak pamiętać, że cykl aktualizacji Edge'a jest nieco wolniejszy, niż konkurentów. Jedna luka załatana na czas nie oznacza, że Edge jest najbezpieczniejszy.