Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

EV証明書(緑の鍵)も過信できなくなってきた

新しいAndroid端末への攻撃手法、URLバー(インセプションバー)を使った騙し(Fake)は、日本でも警戒すべきかも知れません。

nakedsecurity.sophos.com

 

このトリックは、Android版のChromeブラウザが貴重な小画面のスペースを節約する方法を悪用しています。携帯端末のウェブページをスクロールすると、Chromeのアドレスバーが消えて、ページをさらに見ることができます。Fisherはこれを使って偽のUI攻撃を仕掛けました。

(中略)

 

Chrome for mobileでは、ユーザーが下にスクロールすると、ブラウザがURLバーを非表示にし、URLバーの画面スペースをウェブページに渡します。

ユーザーはこの画面スペースを「信頼できるブラウザUI」と関連付けるので、フィッシングサイトは独自の偽のURLバー、つまりインセプションバーを表示することで、それを使用して別のサイトとして装うことができます

(NakedSecurity記事より引用)

 

◆キタきつねの所感

記事の元サイトの動画を拾いたかったのですが、ちょっと難しいかったので、キャプチャー画像で説明すると、まずはAndroidChrome脆弱性である事を前提とし、最初に表示されるのがhttp://jameshfisher.com』の正規のサイトURLで、EV証明書の緑付きの鍵マーク+URL表示されている事が分かります。

 

f:id:foxcafelate:20190501131622p:plain

 

この画面を下にスクロールすると、最初に表示されていたURLバー(正規)が消えますChromeの機能)。ここに偽のURLバーを表示するスクリプトを仕掛けておくと・・・

 

何とHSBC香港上海銀行)のサイトと表示されたURLバー(偽)http://www.hsbc.com表示されてます。単純ではありますが、この脆弱性を突いた攻撃は見た目が正規のURLを指していますので(しかも緑のEV証明書・・・)、偽サイトを本物と勘違いさせて、ID情報等を窃取する、あるいは中間者攻撃を仕掛けるといった様々な発展攻撃が容易にできそうな気がします。

 

Android端末のアンチウィルスソフト等では当面検知しないかもしれませんので、最初に出てくるURLバー(正規)をきちんと確認する事が重要かも知れません。

 

こうした「人の脆弱性」を突く攻撃・・・長いGW休みボケで注意力が低下しているユーザは気をつけた方が良いかと思います。

 

 

ã¦ã§ããµã¤ãã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年5月1日PM(予約投稿)