Концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии

image

Студент из Стэнфордского университета, независимый исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадиех (Feross Aboukhadijeh) создал великолепную демонстрацию, как можно осуществить фишинговую атаку за счёт эксплойта HTML5 Fullscreen API. Демо-страница, скриншоты с отрисованным интерфейсом разных браузеров можно посмотреть здесь, код демки на github.

Суть в том, что HTML5 Fullscreen API позволяет инициировать принудительный переход браузера в полноэкранный режим. Таким образом, вредоносный фишинговый сайт может переключить браузер в полноэкранный режим и отрисовать в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. Средства HTML5 позволяют даже использовать эту картинку как настоящую адресную строку, реагировать на наведение курсора мыши, вводить адрес, нажимать кнопки и т.д.

По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Однако, у многих пользователей отсутствуют какие-либо уникальные элементы UI. Они пользуются стандартным интерфейсом.

Для многих пользователей переход браузера в полноэкранный режим не является признаком опасности: они привыкли к такому поведению браузера на Facebook и Youtube, поэтому могут не обратить внимание на соответствующее предупреждение. Оценку в 10% можно назвать весьма консервативной, и количество невнимательных пользователей гораздо больше 10%, так что эффективность подобной атаки может оказаться весьма высокой.

Кстати, в 2004 году похожая уязвимость с возможностью создания полноэкранных всплывающих окон через window.createPopup() была исправлена в браузере IE.

Ниже — кликабельные скриншоты, как выглядит интерфейс фишингового сайта Bank of America после перехода в полноэкранный режим.

Firefox 16

Bookmark and Share

Chrome 24

Концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии

Safari 6 (этот браузер не выводит предупреждения о переходе в полноэкранный режим)

Концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии

Видео, демонстрирующее слепоту пользователей к небольшим изменениям визуального фона (психологический эффект change blindness).

Подробнее: http://www.xakep.ru/post/59455/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии | | 2012-10-10 14:45:00 | | Статьи об Интернет безопасности | | Студент из Стэнфордского университета, независимый исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадиех (Feross Aboukhadijeh) создал великолепную демонстрацию, как | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: