iPhoneのSafariなど複数のブラウザに「アドレスバーを偽装する脆弱性」が存在

セキュリティ企業のRapid7の調査ディレクターであるトッド・ビアズリー氏が、複数のモバイル向けブラウザに「アドレスバーを偽装する脆弱性」が存在すると指摘しています。

[Vuln Disclosure] Mobile Browser Bar Spoofing Vulnerabilities
https://blog.rapid7.com/2020/10/20/vulntober-multiple-mobile-browser-address-bar-spoofing-vulnerabilities/

この脆弱性は、共通脆弱性タイプ一覧のCommon Weakness Enumeration(CWE)で「CWE-451」に指定されているもの。脆弱性の存在が指摘されているモバイルブラウザとして、Safari、Opera Touch、Bolt Browser、RITS Browserなどの名前が挙がっています。

この脆弱性は攻撃者がウェブページの読み込み時にブラウザのアドレスバーを更新するタイミングをいじることで、ポップアップ通知が任意のウェブサイトからのものであるように見せたり、ブラウザウィンドウに誤って表示されるコンテンツをレンダリングしたりする可能性があるというもの。

いずれの場合も被害者は「攻撃者が実行可能なJavaScriptを投稿できるウェブサイト」にアクセスする必要があります。つまり、FacebookやTwitterなどの大手サイト経由でこの脆弱性を用いた攻撃を受ける可能性はありませんが、攻撃者が作成したウェブサイト経由ならば攻撃を受ける可能性があります。

ビアズリー氏は「例えば『支払い業者からの重要なメッセージがあるのでこれをクリックしてください』といったスパムメール経由で脆弱性を用いた攻撃が仕掛けられると、アドレスバー上の情報が改ざんされ、本物のPayPalのページのように見えることとなります。その場合、攻撃を仕掛けられた人は認証情報を入力してしまう可能性が十分あります」と指摘しています。

以下の画像は、「アドレスバーを偽装する脆弱性」の概念実証を行ったもの。「This is not Bing」と書かれた偽のウェブサイトを表示しているものの、アドレスバー部分にはBingの正しいアドレスが表示されています。

モバイルブラウザはスマートフォン向けアプリの中でも最も頻繁に使用されるもののひとつであり、その表示を悪意を持って狂わせることはユーザーに非常に大きな混乱をもたらすことにつながります。ビアズリー氏は「モバイルブラウザには、表示するページやポップアップ通知のソースを検証するメカニズムが必要です」と語っており、その理由はモバイルブラウザでソースを確認する方法が「アドレスバーに表示されているURLをチェックする」というものしかないためだとしています。

また、モバイルブラウザではセキュリティに関する情報を表示するエリアが非常に限られているというのも問題です。PC向けのブラウザの場合、SSLサーバ証明書に関する情報はアドレスバー上のアイコンからチェックすることができますが、モバイルブラウザでSSLサーバ証明書を確認することはできません。

モバイルブラウザのアドレスバー部分は開発者が手を加えることが禁止されている領域でもあるため、ほとんど不可侵領域のようになっています。そのため、「アドレスバーを偽装する脆弱性」を修正するにはブラウザを開発するベンダーが対応する必要があるわけですが、ビアズリー氏が影響を受けるブラウザに脆弱性を連絡したところ、Safari・Opera Touch・Bolt Browserは脆弱性を修正していますが、UC Browserの開発元であるUCWebからは記事作成時点でも返答は得られていないとのこと。

なお、「アドレスバーを偽装する脆弱性」の影響を受けているブラウザはどれも人気が高いアプリで、最もユーザー数が少ないBolt Browserでさえ、21万件を超えるレビューが投稿されており、App Storeではランキングで47位にランクインしています。脆弱性が修正されないままのUC Browserは、Google Play上で5億回以上ダウンロードされています。