مراقب باشید! مرورگر Safari به هکر اجازه جعل آدرس می دهد

محققان امنیتی یک مورد آسیب‌پذیری خطرناک را شناسایی کرده‌اند که به هکرها امکان جعل آدرس در مرورگرهای Microsoft Edge و Apple Safari نصب‌شده در سیستم‌عامل‌های ویندوز و iOS را می‌دهد.

درحالی‌که Microsoft ماه گذشته در به‌روزرسانی‌های امنیتی ماهانه، آسیب‌پذیری جعل نوار آدرس را برطرف کرد اما این تهدید در مرورگر Safari هنوز برطرف نشده است و به‌صورت بالقوه کاربران Apple را در برابر حملات فیشینگ آسیب‌پذیر می‌کند.

حملات فیشینگ امروزه پیچیده و به‌صورت فزاینده‌ای دشوار است، این آسیب‌پذیری تازه کشف‌شده آن را به سطحی می‌برد که می‌تواند شاخص‌های پایه مانند URL و SSL را دور بزند درحالی‌که URL و SSL از اولین مواردی هستند که کاربر برای تشخیص وب‌سایت جعلی آن‌ها را چک می‌کند.

آسیب‌پذیری (CVE-2018-8383) که توسط پژوهشگر امنیتی پاکستان به نام Rafay Baloch شناسایی‌شده است ناشی از شرایط ایجادشده توسط مرورگر است که به جاوا اسکریپت اجازه به‌روزرسانی نوار آدرس، به هنگام بارگذاری صفحه را می‌دهد.

نحوه عملکرد آسیب‌پذیری جعل آدرس

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به‌صورت بالقوه به مهاجم اجازه دهد تا در ابتدا یک صفحه مشروع را بارگیری کند که این امر موجب نمایش آدرس صفحه در نوار آدرس می‌شود سپس به‌سرعت کد موجود در صفحه وب را با یک برنامه مخرب جایگزین می‌کند.

Baloch در وبلاگ خود بدین‌صورت شرح می‌دهد:

«پس از درخواست داده از یک پورت بسته، آدرس موردنظر ذخیره می‌شود شرایط موجود بر روی منابع درخواست شده از یک پورت بسته همراه با تأخیر ناشی از عملکرد تابع setInterval، موجب سوءاستفاده از نوار آدرس می‌شود.»

«این امر باعث می‌شود که مرورگر نوار آدرس را ذخیره کرده و صفحه جعلی را بارگذاری کند.درنهایت مرورگر منبع را بارگذاری می‌کند اما تأخیر به وجود آمده ناشی از عملکرد تابع setInterval برای جعل نوار آدرس کافی است.»

ازآنجایی‌که URL نمایش داده‌شده در نوار آدرس تغییر نمی‌کند ممکن است شناسایی حمله فیشینگ حتی برای یک کاربر حرفه‌ای نیز سخت باشد.

با استفاده از این آسیب‌پذیری، مهاجم می‌تواند هر صفحه وب را جعل هویت کند. ازجمله Gmail، فیس‌بوک، توییتر یا حتی وب‌سایت‌های بانکی. همچنین می‌تواند صفحه‌های جعلی ورود به سیستم یا فرم‌هایی برای سرقت اعتبار و سایر اطلاعات، از کاربرانی که دامنه مشروع را در نوار آدرس مشاهده می‌کنند، ایجاد کند.

Baloch برای امتحان کردن این آسیب‌پذیری یک صفحه اثبات مفهوم (proof-of-concept) ساخت او مشاهده کرد که هر دو مرورگر Microsoft Edge و Apple Safari به جاوا اسکریپت امکان به‌روزرسانی نوار آدرس به هنگام بارگذاری صفحه را می‌دهند.

درحالی‌که Microsoft در ماه گذشته با به‌روزرسانی روز سه‌شنبه در ماه اوت ۲۰۱۸ این آسیب‌پذیری را مسدود کرد، Baloch هنوز از Apple در مورد آسیب‌پذیری که در ۲ ژوئن گذشته به شرکت گزارش داده بود، پاسخ دریافت می‌کند.

پژوهشگر امنیتی موردنظر جزئیات کامل فنی مربوط به آسیب‌پذیری و کد اثبات مفهوم مربوط به Edge را تنها پس از ۹۰ روز از افشای اطلاعات منتشر کرد اما او کدهای اثبات مفهوم مربوط به مرورگر Safari را تا زمانی که Apple این آسیب‌پذیری را در نسخه‌های آینده Safari برطرف کند را نگه‌داشته است.

منبع: The Hacker News

مراقب باشید! مرورگر Safari به هکر اجازه جعل آدرس می دهد

Related Items:Edge, safari, special, spoofing, آسیب‌پذیری

آپا – CSIRT مرکز تخصصی آپا – دانشگاه زنجان

نحوه عملکرد آسیب‌پذیری جعل آدرس

جستجو

دسته بندی مطالب

آخرین اخبار

آسیب‌پذیری با درجه مخاطره بالا در OpenSSL

دوره امنیت فضای سایبری مدیران کل ادارات حفاظت محیط‌‌‌ زیست استان‌ها و اعضای ستادی سازمان حفاظت محیط‌ زیست

برگزاری دوره آموزشی در هفته پدافند غیرعامل

وصله امنیتی شرکت Juniper برای برخی از محصولات

برنامه شرکت های مخابراتی برای جایگزینی RCS بجای SMS در سال ۲۰۲۰

هکرهای چینی از یک بدافزار جدید برای SQL Server استفاده می کنند

تگ ها

خدمات مرکز آپا: