Safariのセキュリティホールを発見したセキュリティ研究者は、Appleに報告してから3ヶ月以上経った今でも、Appleは未だに修正していないと述べています。MicrosoftのEdgeブラウザにも同じ脆弱性が存在していましたが、同社は1ヶ月前にパッチを公開していました…。
この欠陥により、ユーザーは実際には攻撃サイトに送られているにもかかわらず、Safari では gmail.com のような安全な Web サイトの URL が表示されてしまいます。
Rafay Baloch氏は、この脆弱性が悪用される可能性があることを示す動画(下記)を投稿しました。この脆弱性は、メールに安全なURLが記載されているにもかかわらず、リンク自体が別の場所にリダイレクトするという、一般的なフィッシング詐欺の手口を利用しています。通常、Safariのアドレスバーを見ればこの脆弱性が確認できますが、この脆弱性を悪用することで、フィッシングサイトにアクセスしているにもかかわらず、悪質なサイトが安全なURLを表示させることが可能となります。
上記の例では、Safari のアドレスバーには銀行の Web サイトの URL が表示されていますが、訪問者は実際にはまったく別のサーバー上にいます。
この脆弱性は、Safariがページの読み込み中にJavaScriptによってアドレスバーを更新できることから生じます。攻撃者はユーザーを悪意のあるサイトに誘導し、その後アドレスバーを更新して安全なサイトの名前を表示します。
テスト中、EdgeとSafariの両方のブラウザで、ページの読み込み中にJavaScriptによるアドレスバーの更新が許可されていることがわかりました。存在しないポートからデータを要求した際にアドレスが保持されたため、存在しないポートから要求されたリソースをめぐる競合状態とsetInterval関数による遅延が相まって、アドレスバーの偽装が引き起こされました。これにより、ブラウザはアドレスバーを保持したまま、偽装されたページのコンテンツを読み込みます。ブラウザは最終的にはリソースを読み込みますが、setInterval関数による遅延はアドレスバーの偽装を誘発するのに十分でした。
Safari では、攻撃者が克服すべき課題がもう 1 つありますが、Baloch 氏のビデオでは、それが達成可能であることが示されています。
Safariブラウザには、ページが読み込み中の間は入力ボックスに情報を入力できないという制約がありました。しかし、偽のキーボードを挿入することでこの制約を回避することができました(これは銀行のウェブサイトでは非常に一般的な手法です)。
The Register紙によると、バロック氏はAppleに報告後、脆弱性の詳細を公開するまでに通常90日間待ったという。この猶予期間は、企業がセキュリティホールの存在を知った後、速やかに修正するよう促すために設けられています。
youfre.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
