พบบั๊ค Address Spoofing บน Safari เปิดโอกาสให้ Phishing ได้

David Leo แฮ็คเกอร์ชื่อดังได้แสดงวิธีการโจมตีช่องโหว่ Address Spoofing บนเว็บเบราเซอร์ Safari ซึ่งช่วยให้แฮ็คเกอร์สามารถหลอกเหยื่อด้วยการโจมตีแบบ Phishing ได้ โดยเหยื่อจะคิดว่าตนเองกำลังเข้าถึงเว็บไซต์ที่ต้องการอยู่ แต่ที่จริงแล้วไม่ใช่

สามารถทดสอบช่องโหว่ได้ที่นี่: http://www.deusen.co.uk/items/iwhere.9500182225526788/

safari_address_spoofing_1

โค้ดสำหรับการโจมตีช่องโหว่ดังกล่าวถือว่าง่ายมาก โดยหน้าเว็บจะทำการรีโหลดทุกๆ 10 มิลลิวินาทีผ่านทางการเรียกใช้ฟังก์ชัน setInterval() ก่อนที่เว็บเบราเซอร์จะไปถึงหน้าเว็บที่แท้จริง ส่งผลให้เหยื่อเห็น URL เป็น Address ของเว็บไซต์ที่ต้องการจะเข้าถึง แต่หน้าเว็บกลับยังเป็นเว็บไซต์ที่ปลอมขึ้นมา

safari_address_spoofing_2

ทีมงาน TechTalkThai ได้ลองทดสอบการโจมตีบนช่องโหว่นี้แล้ว พบว่ามันสามารถทำงานได้จริง แต่เมื่อเปลี่ยนไปหน้าแท็บอื่น ก็จะสามารถเข้าถึงเว็บไซต์ที่ต้องการได้ตามปกติ นอกจากนี้ ผู้ใช้บางคนอาจสังเกตเห็น Progress Bar ที่มุมซ้ายล่างของ Address Bar กระพริบโหลดรัวๆ เนื่องจากโค้ดสำหรับโจมตีต้องทำการรีโหลดหน้าเว็บทุกๆ 10 มิลลิวินาที ก็ช่วยให้สามารถทราบถึงความผิดปกตินี้ได้

ถึงแม้ว่าการโจมตีช่องโหว่นี้อาจจะไม่เพอร์เฟ็ค แต่ผู้ใช้งาน Safari บางคนก็อาจตกเป็นเหยื่อถูกหลอกให้เข้าเว็บไซต์ที่ไม่พึงประสงค์ได้เช่นกัน

ที่มา: https://isc.sans.edu/diary/Address+spoofing+vulnerability+in+Safari+Web+Browser/19705


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แนะนำ 9 เครื่องมือสำหรับงาน AI Governance

ประเด็นด้านการใช้งาน AI เริ่มเป็นที่ถกเถียงมากขึ้น จากชื่อเสียงและความเก่งกาจที่เพิ่มขึ้นทุกวัน หรือความเสี่ยงที่ผู้ให้บริการ AI อาจล่วงรู้ถึงข้อมูลที่ละเอียดอ่อน และการละเมิดลิขสิทธิ์ด้านข้อมูล นอกจากนี้ยังมีประเด็นที่คนร้ายสามารถใช้ประโยชน์จาก AI ได้ด้วย ด้วยเหตุนี้องค์กรในปัจจุบันที่ต้องการสร้างโปรเจ็คด้าน AI จึงต้องย้อนกลับมาตั้งต้นด้วยโจทย์ที่ว่า ท่านจะสร้าง …

6 เทรนด์ Cybersecurity ปี 2024 โดย Gartner

ในโลกที่ Generative AI เฟื่องฟู การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้ ติดตามอ่านกันได้ในบทความนี้