Үндсэн санаанууд
- Аюулгүй байдлын судлаач маш үнэмшилтэй боловч хуурамч нэг удаагийн нэвтрэх цонхыг үүсгэх аргыг зохион бүтээсэн.
- Хуурамч попап цонхнууд нь цаашид жинхэнэ харагдахын тулд хууль ёсны URL-уудыг ашигладаг.
- Энэ заль нь зөвхөн нууц үг ашигладаг хүмүүсийн итгэмжлэлийг эрт орой хэзээ нэгэн цагт хулгайлдаг болохыг харуулж байна гэж мэргэжилтнүүд анхааруулж байна.
Вэбийг удирдах нь өдрөөс өдөрт төвөгтэй болж байна.
Одоогийн ихэнх вэбсайтууд бүртгэл үүсгэх олон сонголтыг санал болгож байна. Та вэбсайтад бүртгүүлэх эсвэл Google, Facebook, Apple гэх мэт нэр хүндтэй компаниудад байгаа бүртгэлээ ашиглан вэбсайт руу нэвтрэхийн тулд нэг удаа нэвтрэх (SSO) механизмыг ашиглаж болно. Кибер аюулгүй байдлын судлаач үүнийг ашиглаж, бараг л үл мэдэгдэх хуурамч SSO нэвтрэх цонх үүсгэж таны нэвтрэх мэдээллийг хулгайлах шинэ механизм зохион бүтээжээ.
"SSO-ийн өсөн нэмэгдэж буй алдар нэр нь [хүмүүст] маш их ашиг тус авчирдаг" гэж Dispersive Holdings, Inc-ийн Инженерийн албаны захирал Скотт Хиггинс Lifewire-д цахим шуудангаар ярьжээ. "Гэсэн хэдий ч ухаалаг хакерууд одоо энэ замыг ухаалаг аргаар ашиглаж байна."
Хуурамч нэвтрэх
Уламжлал ёсоор халдагчид шинэ, илрүүлэхэд хэцүү хортой URL болон хуурамч нэвтрэх хуудас үүсгэхийн тулд эх URL дээрх зарим үсгийг ижил төстэй дүрүүдээр сольж, гомограф халдлага гэх мэт тактикуудыг ашигладаг.
Гэсэн хэдий ч хүмүүс URL-г сайтар нягталж үзвэл энэ стратеги ихэвчлэн эвдэрдэг. Цахим аюулгүй байдлын салбарынхан хүмүүст URL талбарт зөв хаягийг жагсаасан эсэхийг шалгахыг зөвлөсөөр ирсэн бөгөөд хажууд нь ногоон цоож байгаа нь вэб хуудас аюулгүй байгааг илтгэнэ.
"Энэ бүхэн намайг эцэст нь "URL шалгах" зөвлөгөөг найдвартай болгох боломжтой юу гэж бодоход хүргэсэн юм бэ? Долоо хоногийн турш тархи довтолсны дараа би хариулт нь тийм гэж шийдсэн" гэж нэрээ нууцалсан судлаач бичжээ. нууц нэр, mr.d0x.
Browser-in-the-browser (BitB) нэртэй үүсгэсэн mr.d0x халдлага нь вэб-HTML, каскадын загварын хүснэгтүүд (CSS) болон JavaScript-н үндсэн гурван үндсэн блокуудыг ашиглан хуурамч мэдээлэл гаргадаг. Бодит зүйлээс үндсэндээ ялгагдахааргүй SSO гарч ирэх цонх.
"Хуурамч URL талбарт хүссэн бүх зүйл, тэр ч байтугай хүчинтэй мэт санагдах байршлуудыг агуулж болно. Цаашилбал, JavaScript-н өөрчлөлтүүд нь холбоос эсвэл нэвтрэх товчлуур дээр хулганыг авснаар URL хаяг нь хүчинтэй мэт харагдах болно " гэж нэмсэн. Хиггинс ноёныг шалгасны дараа. d0x-ийн механизм.
BitB-г харуулахын тулд mr.d0x онлайн график дизайны платформ болох Canva-ийн хуурамч хувилбарыг бүтээсэн. Хэн нэгэн SSO сонголтыг ашиглан хуурамч сайт руу нэвтрэхээр товших үед вэбсайт нь Google гэх мэт хуурамч SSO үйлчилгээ үзүүлэгчийн хууль ёсны хаяг бүхий BitB-ийн боловсруулсан нэвтрэх цонхыг нээж, зочдыг өөрийн нэвтрэх үнэмлэхийг оруулахыг хуурдаг. дараа нь халдагчдад илгээв.
Техник нь хэд хэдэн вэб хөгжүүлэгчдийг гайхшруулсан. Marmelab вэб болон гар утасны хөгжүүлэлтийн компанийн гүйцэтгэх захирал Франсуа Занинотто "Өө, үнэхээр муухай юм: Хөтөч дэх Browser (BITB) Attack нь вэб мэргэжилтэн хүртэл илрүүлж чадахгүй итгэмжлэлийг хулгайлах боломжийг олгодог шинэ фишингийн арга" гэж Twitter дээр бичжээ.
Чи хаашаа явж байгаагаа хар
BitB нь хуурамч нэвтрэх цонхноос илүү үнэмшилтэй байдаг ч Хиггинс хүмүүс өөрсдийгөө хамгаалахын тулд ашиглаж болох цөөн хэдэн зөвлөгөөг хуваалцсан.
Эхлэхийн тулд BitB SSO гарч ирэх цонх нь хууль ёсны попап шиг харагдаж байгаа ч энэ нь тийм биш юм. Тиймээс, хэрэв та энэ попап цонхны хаягийн мөрийг барьж аваад чирэхийг оролдвол энэ нь үндсэн вэбсайтын цонхны ирмэгээс цааш явахгүй бөгөөд энэ нь бүрэн бие даасан, ямар ч цонх руу зөөх боломжтой бодит попап цонхтой адилгүй. ширээний хэсэг.
Хиггинс энэ аргыг ашиглан SSO цонхны хууль ёсны эсэхийг шалгах нь мобайл төхөөрөмж дээр ажиллахгүй гэдгийг хуваалцсан."Энэ бол [олон хүчин зүйлийн нэвтрэлт танилт] эсвэл нууц үггүй баталгаажуулалтын сонголтуудыг ашиглах нь үнэхээр тустай байж болох юм. Та BitB халдлагад өртсөн байсан ч [луйварчид] [хулгайлсан итгэмжлэлээ ашиглах] боломжгүй байх болно. ГХЯ-нд нэвтрэх журмын бусад хэсгүүд" гэж Хиггинс санал болгов.
Интернэт бол бидний гэр биш. Энэ бол олон нийтийн газар юм. Бид зочилж буй газраа шалгах ёстой.
Мөн энэ нь хуурамч нэвтрэх цонх тул нууц үгийн менежер (хэрэв та ашиглаж байгаа бол) итгэмжлэлийг автоматаар бөглөхгүй бөгөөд ямар нэг алдааг илрүүлэхийн тулд дахин түр зогсоох боломжийг танд олгоно.
BitB SSO попап цонхыг илрүүлэхэд хэцүү ч хортой сайтаас эхлүүлсэн байх ёстой гэдгийг санах нь чухал. Ийм попап цонхыг харахын тулд та аль хэдийн хуурамч вэб сайтад орсон байх ёстой.
Тиймээс л Vade Secure-ийн Техник ба Бүтээгдэхүүний захирал Адриен Жендре, хүмүүс холбоос дээр дарах бүрдээ URL-уудыг харахыг зөвлөж байна.
"Бид зочид буудлын зөв өрөөнд орохын тулд хаалган дээрх дугаарыг шалгадагтай адил хүмүүс вэб сайтаар зочлохдоо URL хаягуудыг хурдан хардаг байх ёстой. Интернэт бол бидний гэр биш. Энэ бол олон нийтийн газар. Бид юунд зочилж байгаагаа шалгах ёстой" гэж Жэндре онцоллоо.
