OS XとiOSのSafariにアドレスバーのURLと異なるページを表示できる不具合(脆弱性)が発見されたそうです。詳細は以下から。
Ars Technicaによると、この不具合のProof-of-Concept(PoC)は今年2月にInternet ExplorerのXSS脆弱性を発見したDeusen社によって発見され、内容は「Safariのアドレスバーには”dailymail.co.uk”というURLが表示されているにもかかわらず、実際にはSafariに違うページの内容が表示される」というもので、最新のOS XとiOSのSafariでも再現可能。
Safari address-spoofing bug could be used in phishing, malware attacks http://t.co/t9hpBTLRty by @dangoodin001
The recently published proof-of-concept exploit causes the Safari address bar to display dailymail.co.uk even though the browser is displaying content from deusen.co.uk. It works on fully patched versions of iOS and OS X. Malicious attackers might use the bug to dupe Safari users into thinking they’re connecting to a trusted site instead of one that’s phishing their login credentials or attempting to install malware.
[Safari address-spoofing bug could be used in phishing, malware – Ars Technica]
Deusen社はこのPoCを証明するためのデモページを用意しており、SafariでアクセスするとURLには”dailymail.co.uk“と表示されるものの、実際には”deusen.co.uk”のサイトの内容が表示されます。(ChromeやFirefoxなどでアクセスするとフリーズする場合があるので注意して下さい。)
Summary
A Safari vulnerability is shown here:
Address bar says dailymail.co.uk but content is not dailymail.co.uk
[iwhere – Deusen]
この不具合は最新のSafari 8だけではなくSafari 7.xでも同様で、Ars Technicaではこの不具合を利用してフィッシングやマルウェア攻撃を行うことが可能だと警告しています。
関連リンク:
・Safari address-spoofing bug could be used in phishing, malware attacks – Ars Technica
コメント
怖え
簡易表示にしたゆえの脆弱性かな
※1
省略化される以前のバージョンでも同様と書いてる
多分Safari8でURL全文表示にしても変わりないんじゃないか
どうせなら実証コードの部分の訳も載せて欲しかった。
元記事によると、Safariがページの読込を終える前からJavaScriptを先行実行することを利用し、アドレスバーの内容を定期的に偽装URLで上書きするスクリプトを動かしておくという、極めて単純なものっぽい。
偽装URLは毎回ランダムに生成されてるが、省略表示だとランダム生成の部分が見えないので異常に気づきにくいかもね。
米1
山ライオンのSafari6 でフルアドレス表示されてるけど同じ様にアドレス偽装された…
フリーズするのとどちらが良い挙動なのか
うちのMBPが遅いせいか、偽装アドレスにdeusen.co…が紛れ込む
ソース見たけど、JavaScriptでdailymailのサイトを繰り返しsetIntervalを使って非常に短い間隔で読み込んでいるのね。
でも、これって脆弱性と言うより仕様なのでは。
・・・?
Safari8.0.6だけど、この問題再現されなかった。
アドレスバーにはちゃんとdeusen.co.ukはdeusen.co.ukで、
dailymail.co.ukはdailymail.co.ukででたけどな、俺の環境じゃ。(MacBook Pro (Retina, Mid 2012))
↑デモページでGoクリックすんだよ
山ライオン、Safari 6.2.4→アウト、Chrome 42→OK
どっちともスクリプト読み込みまくりで、これでフィッシングは厳しいような…