Actualités

Navigateurs Web mobiles : quand une vulnérabilité permettait de détourner l’authenticité d’une URL !

Simple mais redoutablement efficace : Rafay Baloch a démontré que le format mobile, censé optimiser la navigation Web des pages HTMLs peut parfois le faire au détriment de l’aspect sécuritaire. Alors que les versions bureau des navigateurs permettent de pointer plus ou moins l’origine ou la validité d’un certificat, version mobile oblige, la (mini) place est faite au minimum d’informations et, finalement, l’utilisateur, au besoin, ne peut pas vraiment savoir où il se trouve mis à part l’URL… une donnée qui semble, malheureusement, compromise via un PoC qui a récemment démontré une attaque par spoofing…

 

 

En effet, dans la généralité, le spoofing peut se faire de plusieurs manière : lors de la dernière édition du Black Hat (Asie), début de ce mois d’Octobre, Positive Technologies mettait en lumière des failles naturellement présentes dans les réseaux 4G et 5G, notamment par une attaque MitM (Man-in-the-Middle) qui interceptait, en finalité, les appels depuis l’IMSI et le protocole SS7, via une attaque par spoofing. Ainsi, l’authentification-utilisateur (du terminal ciblé) était tronquée ou détournée pour qu’un individu potentiellement malveillant puisse se faire passer pour la victime est accueillir les messages-retours (réponses). Dans le cas des versions mobiles des navigateurs, le détournement de l’authentification prend son sein depuis du code JavaScript, “en perturbant le temps entre les chargements de page et lorsque le navigateur a la possibilité d’actualiser la barre d’adresse”.

 

Depuis un site un site vérolé ou intégrant du code arbitraire, une “fenêtre contextuelle” ou “du contenu dans la fenêtre” s’affichent : au-delà du code initial, le site en question serait accessible depuis un lien envoyé par mail (phishing) ou depuis un forum ou site Web communautaire. Cette faille n’est pas nouvelle, précise le chercheur : déjà en 2016, Firefox sous Android fournissait une rustine pour la version 48 du navigateur Web. Assignée MFSA-2016-82, ce renouveau insécuritaire a été découvert “au cours de l’été 2020” en concordance avec Rapid7 : “alors qu’Apple et Opera ont répondu immédiatement à la divulgation initiale, Yandex et RITS ont répondu peu de temps avant la publication. RITS et Opera se sont engagés à apporter des correctifs dans leur prochaine version, tandis que Yandex et Safari ont déjà publié des mises à jour au moment d’écrire ces lignes“. En toute logique, Firefox n’était pas concerné puisque la vulnérabilité avait donc déjà été découverte et intégrée dans les correctifs. Des exemples demeurent pour se prémunir de ce type d’attaque, en plus des mises à jour à pratiquer sans attendre, suivant le navigateur Web utilisé.

 

En aparté, également au 20 Octobre dernier, un correctif avait été fourni pour le navigateur Chrome suite à une vulnérabilité découverte par l’équipe Project Zero au sein de la police FreeType. Un dépassement ou corruption de la mémoire pouvait rendre instable le logiciel et permettre des injections de code. Assignée CVE-2020-15999, la faille 0-day a été comblée par une rustine déployée dans la version stable de Chrome estampillée 86.0.4240.111. Pour l’heure, pas de détails sur la teneur de cet exploit… A veiller !

 

 

Source : Blog Rapid7 – 20 Octobre 2020 – Navigateurs Web mobiles : détournement (spoofing) de l’adresse URL pour injecter du code arbitraire.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.6.3