Концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 10 Oct 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии

    Студент из Стэнфордского университета, независимый исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадиех (Feross Aboukhadijeh) создал великолепную демонстрацию, как можно осуществить фишинговую атаку за счёт эксплойта HTML5 Fullscreen API. Демо-страница http://feross.org/html5-fullscreen-api-attack/, скриншоты с отрисованным интерфейсом разных браузеров можно посмотреть здесь http://imgur.com/a/jdcI7, код демки на github https://github.com/feross/fullscreen-api-attack.

    Суть в том, что HTML5 Fullscreen API позволяет инициировать принудительный переход браузера в полноэкранный режим. Таким образом, вредоносный фишинговый сайт может переключить браузер в полноэкранный режим и отрисовать в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. Средства HTML5 позволяют даже использовать эту картинку как настоящую адресную строку, реагировать на наведение курсора мыши, вводить адрес, нажимать кнопки и т.д.

    По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Однако, у многих пользователей отсутствуют какие-либо уникальные элементы UI. Они пользуются стандартным интерфейсом.

    Для многих пользователей переход браузера в полноэкранный режим не является признаком опасности: они привыкли к такому поведению браузера на Facebook и Youtube, поэтому могут не обратить внимание на соответствующее предупреждение. Оценку в 10% можно назвать весьма консервативной, и количество невнимательных пользователей гораздо больше 10%, так что эффективность подобной атаки может оказаться весьма высокой.

    Кстати, в 2004 году похожая уязвимость с возможностью создания полноэкранных всплывающих окон через window.createPopup() была исправлена в браузере IE.

    Ниже — кликабельные скриншоты, как выглядит интерфейс фишингового сайта Bank of America после перехода в полноэкранный режим.

    Firefox 16

    [​IMG]

    Chrome 24

    [​IMG]

    Safari 6 (этот браузер не выводит предупреждения о переходе в полноэкранный режим)

    [​IMG]

    Видео, демонстрирующее слепоту пользователей к небольшим изменениям визуального фона (психологический эффект change blindness).

    https://www.youtube.com/watch?feature=player_embedded&v=FWSxSQsspiQ

    10.10.2012
    http://www.xakep.ru/post/59455/​
     
    #1 Solitude, 10 Oct 2012
(You must log in or sign up to post here.)