Эксплойт HTML5 Fullscreen API - мощное оружие фишеров

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 окт 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Студент из Стэнфордского университета, исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадиех создал великолепную демонстрацию, как можно осуществить фишинговую атаку за счёт эксплойта HTML5 Fullscreen API.

    Суть в том, что HTML5 Fullscreen API позволяет инициировать принудительный переход браузера в полноэкранный режим. Таким образом, вредоносный фишинговый сайт может переключить браузер в полноэкранный режим и отрисовать в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. Средства HTML5 позволяют даже использовать эту картинку как настоящую адресную строку, реагировать на наведение курсора мыши, вводить адрес, нажимать кнопки и т.д.

    [​IMG]

    По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Однако, у многих пользователей отсутствуют какие-либо уникальные элементы UI. Они пользуются стандартным интерфейсом.


    Для многих пользователей переход браузера в полноэкранный режим не является признаком опасности: они привыкли к такому поведению браузера на Facebook и Youtube, поэтому могут не обратить внимание на соответствующее предупреждение. Оценку в 10% можно назвать весьма консервативной, и количество невнимательных пользователей гораздо больше 10%, так что эффективность подобной атаки может оказаться весьма высокой.

    Кстати, в 2004 году похожая уязвимость с возможностью создания полноэкранных всплывающих окон через window.createPopup() была исправлена в браузере IE.

    Источник
     
    6 пользователям это понравилось.

Поделиться этой страницей