アドレスバーに表示されるURLとは異なるページを表示できる不具合がOS XとiOSのSafariに発見される。

スポンサーリンク

 OS XとiOSのSafariにアドレスバーのURLと異なるページを表示できる不具合(脆弱性)が発見されたそうです。詳細は以下から。


Address-bar-says-dailymail-co-uk-but-not


 Ars Technicaによると、この不具合のProof-of-Concept(PoC)は今年2月にInternet ExplorerのXSS脆弱性を発見したDeusen社によって発見され、内容は「Safariのアドレスバーには”dailymail.co.uk”というURLが表示されているにもかかわらず、実際にはSafariに違うページの内容が表示される」というもので、最新のOS XとiOSのSafariでも再現可能。

The recently published proof-of-concept exploit causes the Safari address bar to display dailymail.co.uk even though the browser is displaying content from deusen.co.uk. It works on fully patched versions of iOS and OS X. Malicious attackers might use the bug to dupe Safari users into thinking they’re connecting to a trusted site instead of one that’s phishing their login credentials or attempting to install malware.

[Safari address-spoofing bug could be used in phishing, malware – Ars Technica]

 Deusen社はこのPoCを証明するためのデモページを用意しており、SafariでアクセスするとURLには”dailymail.co.uk“と表示されるものの、実際には”deusen.co.uk”のサイトの内容が表示されます。(ChromeやFirefoxなどでアクセスするとフリーズする場合があるので注意して下さい。)


Address-bar-says-dailymail-and-fake

Summary
A Safari vulnerability is shown here:
Address bar says dailymail.co.uk but content is not dailymail.co.uk

[iwhere – Deusen]

 この不具合は最新のSafari 8だけではなくSafari 7.xでも同様で、Ars Technicaではこの不具合を利用してフィッシングやマルウェア攻撃を行うことが可能だと警告しています。


Address-bar-says-dailymail-co-uk-but-not-Safari7

関連リンク:
Safari address-spoofing bug could be used in phishing, malware attacks – Ars Technica

コメント

  1. Apple7743 より:

    怖え
    簡易表示にしたゆえの脆弱性かな

  2. Apple7743 より:

    ※1
    省略化される以前のバージョンでも同様と書いてる
    多分Safari8でURL全文表示にしても変わりないんじゃないか

  3. Apple7743 より:

    どうせなら実証コードの部分の訳も載せて欲しかった。
    元記事によると、Safariがページの読込を終える前からJavaScriptを先行実行することを利用し、アドレスバーの内容を定期的に偽装URLで上書きするスクリプトを動かしておくという、極めて単純なものっぽい。
    偽装URLは毎回ランダムに生成されてるが、省略表示だとランダム生成の部分が見えないので異常に気づきにくいかもね。

  4. Apple7743 より:

    米1
    山ライオンのSafari6 でフルアドレス表示されてるけど同じ様にアドレス偽装された…

  5. Apple7743 より:

    フリーズするのとどちらが良い挙動なのか

  6. Apple7743 より:

    うちのMBPが遅いせいか、偽装アドレスにdeusen.co…が紛れ込む

  7. Apple7743 より:

    ソース見たけど、JavaScriptでdailymailのサイトを繰り返しsetIntervalを使って非常に短い間隔で読み込んでいるのね。
    でも、これって脆弱性と言うより仕様なのでは。

  8. Apple7743 より:

    ・・・?
    Safari8.0.6だけど、この問題再現されなかった。
    アドレスバーにはちゃんとdeusen.co.ukはdeusen.co.ukで、
    dailymail.co.ukはdailymail.co.ukででたけどな、俺の環境じゃ。(MacBook Pro (Retina, Mid 2012))

  9. Apple7743 より:

    ↑デモページでGoクリックすんだよ
    山ライオン、Safari 6.2.4→アウト、Chrome 42→OK
    どっちともスクリプト読み込みまくりで、これでフィッシングは厳しいような…