Les navigateurs mobiles et le spoofing de barre d’adresse

Plusieurs vulnérabilités de spoofing(usurpation) de barre d’adresse affectent un certain nombre de navigateurs mobiles et ouvrent la porte à des campagnes de diffusion de logiciels malveillants, d’hameçonnage et de désinformation.

Les failles, rapportés par Rapid7 et le chercheur indépendant Rafay Baloch, affectent six navigateurs, allant des plus courants (Apple Safari, Opera Touch/Mini et Yandex) aux moins courants (Bolt Browser, RITS Browser et UC Browser). Ils permettent à un attaquant de présenter une fausse adresse pour une page Web – ce qui est un problème dans le monde mobile, où une URL est souvent la seule vérification de la légitimité des utilisateurs avant de naviguer sur un site Web.

« Les navigateurs mobiles sont un type de logiciel assez spécial qui finit par agir comme un multipass de l’utilisateur pour tous les types d’applications critiques dans leur vie quotidienne », a expliqué le directeur de recherche de Rapid7, Tod Beardsley, dans un article de blog. «Essentiellement, si votre navigateur vous indique qu’une notification contextuelle ou une page provient de votre banque, de votre fournisseur de soins de santé ou d’un autre service essentiel dont vous dépendez, vous devriez vraiment disposer d’un mécanisme pour vérifier cette source. Dans les navigateurs mobiles, cette source commence et se termine par l’URL comme indiqué dans la barre d’adresse. Le fait est que nous n’avons vraiment pas grand-chose sur quoi nous fier. »

uc browser

En raison du manque d’espace pour les indicateurs de sécurité sur l’écran du mobile, les navigateurs empêchent généralement les développeurs de modifier quoi que ce soit dans la barre d’adresse. Ce qui est affiché à l’écran doit correspondre à l’endroit où la page est réellement hébergée, ce qui rend presque impossible l’usurpation de l’emplacement du texte ou des images. Cependant, ce groupe de vulnérabilités permet aux attaquants de contourner ces protections.

« Les bogues permettent aux attaquants d’interférer avec le temps entre les chargements de page et le moment où le navigateur a la possibilité de rafraîchir la barre d’adresse », a déclaré Baloch, dans un document technique. « Ils peuvent faire apparaître une fenêtre contextuelle provenant d’un site Web arbitraire ou afficher du contenu dans la fenêtre du navigateur qui semble provenir à tort d’un site Web arbitraire. »

Baloch a publié un exploit de preuve de concept (PoC) démontrant la vulnérabilité d’usurpation dans le le navigateur pour Safari sur iOS et Mac (CVE-2020-9987).

« La vulnérabilité est due au fait que Safari conserve la barre d’adresse de l’URL lorsqu’elle est demandée sur un port arbitraire, la fonction d’intervalle défini recharge bing.com:8080 toutes les 2 millisecondes », a-t-il expliqué. «Par conséquent, l’utilisateur est incapable de reconnaître la redirection de l’URL d’origine vers l’URL usurpée. Ce qui rend cette vulnérabilité plus efficace dans Safari par défaut ne révèle pas le numéro de port dans l’URL tant que le focus n’est pas défini via le curseur. »

Essentiellement, tout cela signifie qu’un attaquant pourrait configurer un site Web pour l’hameçonnage, la diffusion de logiciels malveillants ou l’usurpation de sources d’actualités à des fins de désinformation, puis envoyer l’URL à une cible par e-mail, SMS, application de messagerie, ou sur les réseaux sociaux.

« Imaginez un message texte d’un numéro de téléphone usurpé qui dit: » Il y a un message important de votre processeur de paiement, cliquez ici « , puis vous cliquez sans vraiment regarder, et vous vous retrouvez sur une page Web qui dit clairement (mais faussement) c’est PayPal, pouvez-vous entrer votre mot de passe très rapidement? » Beardsley a noté. « Cela semble être une attaque assez efficace, étant donné que la barre d’adresse est vraiment le seul moyen dont vous disposez pour dire » où « se trouve votre navigateur. » « 

Voici une liste des navigateurs concernés et des CVE attribués:

navigateurs

Les failles pourraient affecter un large éventail d’utilisateurs, même pour les navigateurs les moins utilisés. Bolt, par exemple, a plus de 210 000 avis et se classe au 47e rang de l’App Store, et UC Browser a 500 millions de téléchargements sur Google Play.

Mettez vos navigateurs à jour

Les utilisateurs des navigateurs concernés doivent mettre à jour lorsque cela est possible et rester prudents.

«Avec la sophistication croissante des attaques d’hameçonnage ciblé, l’exploitation de vulnérabilités des navigateurs telles que l’usurpation de la barre d’adresse pour mener des attaques d’hameçonnage ciblées peut augmenter le succès des attaques ciblées et donc s’avérer très dangereux», a conclu Baloch.

«D’abord et avant tout, il est facile de manipuler la victime pour lui dérober des informations d’identification ou distribuer des logiciels malveillants lorsque la barre d’adresse pointe vers un site Web de confiance et ne donne aucun indicateur de contrefaçon, deuxièmement, puisque la vulnérabilité exploite une fonctionnalité spécifique d’un navigateur, elle peut échapper à la détection des solutions de sécurité contre l’hameçonnage. »

La recherche a également révélé des failles similaires dans certains navigateurs de bureau, selon les chercheurs, qui ont déclaré que ceux-ci seraient divulgués dans un article ultérieur.

« Il convient de mentionner que Safari sur MacOS a également été affecté par le même problème (qui a été corrigé dans la version Big Sur MacOS sorti récemment) », a déclaré Beardsley.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x