使用网络钓鱼炸弹劫持Safari 4热门站点

好吧,这是我在评估Safari 4 Beta(v528.16)时发现的一个有趣问题。这不是您通常需要站点漏洞的XSS或CSRF错误,而是持久性浏览器后门,该后门影响使用4.0.2及更低版本的所有Safari 4用户。我对最新版本的Apple提供的一些新功能感到非常惊讶’的浏览器,尤其是炒作 热门网站Cover Flow功能. 我决定破解这个很酷的功能。这是我发现的.


SECURETHOUGHTS.COM的建议
– CVE-ID:CVE-2009-2196
–发布日期:2009年8月11日
–发现者:地狱

脆弱的

Safari 4所有版本 < 4.0.3
受影响的平台– Mac OS X v10.4.11,Mac OS X Server v10.4.11,Mac OS X v10.5.7,Mac OS X Server v10.5.7,Windows XP和Vista

背景

Safari是Apple Inc.开发的Web浏览器。它是Mac OS X v10.3和更高版本中的默认浏览器。适用于Microsoft Windows平台的Safari于2007年6月11日首次发布,目前支持Windows XP和Windows Vista。对于Mac OS X和Windows,浏览器的当前稳定版本是4.0.3。 (来源–维基百科).

Safari 4引入了“热门网站”功能,以提供用户概览’最喜欢的网站。它是Safari 4的最受炒作的功能,被用户广泛使用,可以快速跳转到他们经常使用的网站,包括他们的银行,电子邮件帐户,购物网站等。.

描述

恶意网站可能会通过自动操作将任意站点放入“顶级站点”视图。攻击技术利用了javascript窗口,其中的一个小窗口用于反复浏览到攻击者想要添加到“热门站点”列表中的其他站点。使用window.blur函数完全隐藏了该窗口,用户赢得了’不知道这是在后台发生的。请注意,使用不可见的iframe不可能进行此攻击,因为Safari不会使用iframe网址来确定“热门网站”的内容.

攻击完成执行后,小窗口将关闭,并且下次您使用Safari热门网站时,攻击者将受到攻击’定义的站点将替换您现有的合法站点。为了决定替换哪个站点,攻击者可以首先使用Jeremiah Grossman [2]发现的CSS History Hack,然后相应地设置相对于那些用户的伪造站点。’的访问过的网站。因此,这很容易导致严重的网络钓鱼攻击。 Safari使情况更加恶化’如[3]中所强调的那样,对于URL混淆攻击的保护不足,这使得普通用户几乎不可能发现假网站并将其与合法网站区分开来。.

概念证明

https://securethoughts.com/b/q.htm
PoC当前运行时间不到一分钟,该时间基于最保守的输入参数值.

此攻击中的两个输入参数是应该访问假网站的次数(n)(默认值= 28)和超时(t)(默认值= 2秒),触发两次假网站之间的切换。这非常简单,并在您的热门网站上添加了两个bankofamerica.com和gmail.com假网站。 (它不会检查您的浏览器历史记录,但是留给读者练习 :):) )。另外,您可能必须增加 ‘ñ’ 如果您经常访问自己喜欢的网站.

真实的黑客场景如下所示:

1.攻击者在上注入恶意javascript
(a)他或她的邪恶地点或
(b)在允许使用javascript的合法网站上(例如公告栏,仪表板等).

2.受害者访问上述站点.

3.恶意JavaScript运行,并首先从Alexa Top 500列表中检查浏览器历史记录(使用CSS History hack [2])。.

4.攻击者取代用户’使用伪造的钓鱼网站访问过的网站(使用网址混淆使名称听起来合法).

5.每次用户打开钓鱼网站并获得登录页面时,用户’的凭据被盗。攻击者将显示登录错误消息,要求用户稍后重试。同时,攻击者会将该网络钓鱼站点重置回合法页面。这样,用户将永远不会知道发生了什么.

6.另外,攻击者始终可以始终在“顶级站点”中至少保留1个或2个钓鱼网站。这将帮助攻击者保持对用户的持久控制’会话,并且每次用户访问新站点时,攻击者都会检测到该会话,并将其替换为“热门站点”中的网络钓鱼站点。.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

修复说明

通过防止自动网站访问影响“热门网站”列表,可以解决此问题。仅将在网址地址栏中手动输入的网站视为放置在“热门网站”视图中.

升级到Safari 4.0.3.

Apple安全更新可通过软件更新机制获得:
http://support.apple.com/kb/HT1338

也可以通过以下方式手动下载Apple安全更新:
http://www.apple.com/support/downloads/

参考资料

1.苹果安全更新
http://support.apple.com/kb/HT1222

2.耶利米·格罗斯曼’的CSS History Hack
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

学分

该漏洞是由发现的
地狱(inferno {at} securethoughts {dot} com)

披露时间表

2009年5月21日:Inferno发现漏洞.
2009年5月21日:与Apple联系.
2009年5月21日:Apple的自动回复.
2009年5月26日:Apple安全团队的第一反应.
2009年6月3日:Apple提供的“第一状态”更新.
2009年6月27日:Apple提供的“第二状态”更新.
2009年7月24日:与Apple协调发布公告版.
2009年8月11日:Apple发布了软件更新和公共咨询.

我要感谢Apple Security Team的及时响应,了解此问题的严重性并在合理的时间内发布了补丁程序.

Chrome浏览器和Opera浏览器都提供类似的功能,但不受此漏洞的影响。 Chrome浏览器仅允许在地址栏中手动键入网址进入 “访问最多的站点” 起始页,而Opera需要用户明确添加他或她喜欢的网页作为快速拨号条目。 IE没有此功能,因此不受此影响.

我今年在BlackHat和Defcon遇到了几个有趣的人,分别来自Apple,Microsoft,WhiteHat,SecTheory,McAfee,Paypal等。我遇到的一个人是SecTheory的Daniel Herrera。他告诉我他一直在做的一些研究,其中之一是Top Sites中的类似异常。他很高兴知道Apple正在解决此问题。在不久的将来,他将与我们分享他的好主意。这包括他正在为Opera工作的一些漏洞。

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me