พบบั๊ค Address Spoofing บน Safari เปิดโอกาสให้ Phishing ได้

David Leo แฮ็คเกอร์ชื่อดังได้แสดงวิธีการโจมตีช่องโหว่ Address Spoofing บนเว็บเบราเซอร์ Safari ซึ่งช่วยให้แฮ็คเกอร์สามารถหลอกเหยื่อด้วยการโจมตีแบบ Phishing ได้ โดยเหยื่อจะคิดว่าตนเองกำลังเข้าถึงเว็บไซต์ที่ต้องการอยู่ แต่ที่จริงแล้วไม่ใช่

สามารถทดสอบช่องโหว่ได้ที่นี่: http://www.deusen.co.uk/items/iwhere.9500182225526788/

safari_address_spoofing_1

โค้ดสำหรับการโจมตีช่องโหว่ดังกล่าวถือว่าง่ายมาก โดยหน้าเว็บจะทำการรีโหลดทุกๆ 10 มิลลิวินาทีผ่านทางการเรียกใช้ฟังก์ชัน setInterval() ก่อนที่เว็บเบราเซอร์จะไปถึงหน้าเว็บที่แท้จริง ส่งผลให้เหยื่อเห็น URL เป็น Address ของเว็บไซต์ที่ต้องการจะเข้าถึง แต่หน้าเว็บกลับยังเป็นเว็บไซต์ที่ปลอมขึ้นมา

safari_address_spoofing_2

ทีมงาน TechTalkThai ได้ลองทดสอบการโจมตีบนช่องโหว่นี้แล้ว พบว่ามันสามารถทำงานได้จริง แต่เมื่อเปลี่ยนไปหน้าแท็บอื่น ก็จะสามารถเข้าถึงเว็บไซต์ที่ต้องการได้ตามปกติ นอกจากนี้ ผู้ใช้บางคนอาจสังเกตเห็น Progress Bar ที่มุมซ้ายล่างของ Address Bar กระพริบโหลดรัวๆ เนื่องจากโค้ดสำหรับโจมตีต้องทำการรีโหลดหน้าเว็บทุกๆ 10 มิลลิวินาที ก็ช่วยให้สามารถทราบถึงความผิดปกตินี้ได้

ถึงแม้ว่าการโจมตีช่องโหว่นี้อาจจะไม่เพอร์เฟ็ค แต่ผู้ใช้งาน Safari บางคนก็อาจตกเป็นเหยื่อถูกหลอกให้เข้าเว็บไซต์ที่ไม่พึงประสงค์ได้เช่นกัน

ที่มา: https://isc.sans.edu/diary/Address+spoofing+vulnerability+in+Safari+Web+Browser/19705



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NSA เผย 25 ช่องโหว่ที่ถูกใช้มากที่สุดโดยแฮ็คเกอร์ชาวจีนซึ่งได้รับการสนับสนุนจากภาครัฐ

U.S. National Security Agency หรือ NSA ได้ออกมาแจ้งเตือนถึงช่องโหว่ 25 รายการที่ถูกใช้งานมากที่สุดโดยแฮ็คเกอร์ชาวจีนที่ได้รับการสนับสนุนจากระดับภาครัฐ เพื่อใช้โจมตีหน่วยงานต่างๆ ของสหรัฐอเมริกา โดยช่องโหว่ที่หลากหลายเหล่านี้ถูกใช้งานในลำดับขั้นของการโจมตีที่แตกต่างกันออกไป ดังนี้

Microsoft ออกแพตช์เร่งด่วนอุดช่องโหว่ให้ Windows และ Visual Studio Code

Microsoft ได้ออกแพตช์นอกรอบเพื่ออุดช่องโหว่ให้ Windows Codec Library และ Visual Studio Code โดยการประกาศครั้งนี้มาพร้อมคำเตือนจาก CISA ในเวลาต่อมา จึงแนะนำให้ผู้ใช้ควรอัปเดตครับ