Un bogue affectant Chrome et Firefox permet le spoofing de la barre d'adresse
Afin de faciliter des attaques d'hameçonnage
Le chercheur en sécurité Rafay Baloch a découvert une vulnérabilité dans les navigateurs Chrome et Firefox qui permet aux cybercriminels de faire des manipulations de la barre d’adresse (spoofing), un moyen très souvent utilisé pour les attaques basées sur le déni de service. La vulnérabilité se trouve au niveau de l’omnibox, la barre de recherche conçue pour faire des suggestions de recherche, la prédiction d’URL, la recherche instantanée …
« L’équipe de sécurité de Google affirme elle-même qu’elle reconnait la barre d’adresse comme le seul indicateur de sécurité d’un navigateur moderne, et si ce seul indicateur pouvait être contrôlé par un hacker, il pourrait mener des attaques. Par exemple, il peut potentiellement pousser les utilisateurs à fournir des informations sensibles sur un site malicieux du fait qu’il peut facilement les persuader que le lien qu’ils visitent est légitime, puisque la barre d’adresse affiche le site web correct ».
Cette technique de spoofing de la barre d’adresse vient du fait que beaucoup de langues, comme l’Arabe et l’Hébreu, sont écrites de droite à gauche. Ces langues ont une mauvaise prise en charge de certains caractères Unicode, ce qui affecte la manière dont ils sont rendus avec un premier caractère (lettre d'alphabet) ou une adresse IP. Cela peut éventuellement permettre une usurpation d’URL. Baloch a remarqué que le fait de placer des caractères neutres comme “/”, “ا” dans le chemin de fichier cause une inversion de l’URL et l’affiche de droite à gauche. Cependant, pour que le spoofing de l’URL marche, l’adresse doit commencer par une adresse IP suivie par des caractères neutres, puisque l’omnibox considère les adresses IP comme une combinaison de chiffres et de ponctuation. Et puisque la direction de gauche à droite (LTR) n’est pas gérée proprement, l’URL entière est traitée et rendue de droite à gauche (RTL). On peut avoir les mêmes résultats en remplaçant l’adresse IP par un caractère comme une lettre d’alphabet par exemple.
Ainsi le navigateur affiche l’URL suivante 127.0.0.1/ا/http://example.com de cette façon http://example.com/ا/127.0.0.1
Cette technique est caractérisée par la facilité de son exploitation. Un hacker peut facilement implémenter un site d'hameçonnage et le lier à une fausse adresse. Ensuite les victimes seront amenées à visiter le site via des emails de spam, des SMS ou des messages, ne pouvant pas savoir que l’adresse en question est fausse. « L’adresse IP peut facilement être cachée dans les navigateurs mobiles en utilisant un long URL (google.com/fakepath/fakepath/fakepath/... /127.0.0.1) afin de rendre l’attaque plus réaliste », explique Baloch.
Firefox a été affecté par une vulnérabilité similaire. Cependant l’utilisation d’une adresse IP pour mener l’attaque n’a pas été nécessaire, le cybercriminel ayant seulement besoin d’un caractère RTL afin d’exploiter la vulnérabilité. Ainsi, au lieu d’afficher cette URL : http://عربي.امارات/google.com/test/test/test, les utilisateurs sont menés à google.com.
Google et Mozilla ont déjà résolu ce problème alors que les autres éditeurs travaillent sur une solution. Baloch a aussi informé qu’il a reçu 5000 dollars de Google pour avoir rapporté cette vulnérabilité.
Source : Rafayhackingarticles
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Forum Sécurité
Partager