Safari address bar spoofing technic / Safariのアドレスバー偽装のテクニック

　＜追記：2018＞本稿の内容は修正されたことを確認しました。諸般の事情により、PoCおよび一部解説と核心に触れる内容を削除しました。

　アドレスバー偽装系の攻撃アプローチは幾つかありますが、その内の一つに触れます。この手法は、Safariのフィッシング対策設定の無効化することで、アドレスバー偽装が可能です。この設定はデフォルトで有効になっており、意図的に無効化にしない限りは影響を受けません。抜本的な対策はされていませんが、一応フィッシング警告画面が出ますし、特にCVE番号が割り当てられていないようですし、自ら悪意のあるコードを入力しなければならないので、その一部分を明かします。本件を試行中、いくつかバグが出てきたので、なにかの脆弱性に繋がる足掛かりになるかも。

　ふとカレンダーを見ましたが、未だ23日目だけ誰も書いていないので、一ヶ月以上も遅れていますが、脆弱性"&'<<>\ Advent Calendar 2016 の23日目の記事です。

www.adventar.org

●下準備

1. Safariの「詐欺Webサイトを閲覧しようとしたときに警告」のチェックを外す

f:id:reinforchu:20170203180004p:plain

環境設定→セキュリティ設定→詐欺サイト

2. Safariの横幅ウィンドウサイズを約2000px以下に小さくしておく(必須ではないですが、「微妙」と言っている所以です)

●PoC

　PoCはGitHubに上げてます。ある文字を仕込んでいるので、コピペだと上手く動かないかも。ZIPでダウンロードして展開して開いてください。

　諸般の事情により削除しました。

github.com

　開くとJavaScriptのwindow.locationで変なURLが自動的に開きます。

　PoCでは、ウチのサイト(hack.vet)を、www.google.co.jp に偽装しています。

f:id:reinforchu:20170203181236p:plain

バグでアドレスバーが真っ白になっているので、アドレスバーをクリックして選択してください。匠はこれを一体何に使うつもりなのでしょうか。

f:id:reinforchu:20170203181155p:plain

なんということでしょう！匠によって、Googleに生まれ変わりました！

●解説

　本質的な部分は以前投稿した「Basic認証を用いたオープンリダイレクトの攻撃手法」と同じで、それを応用した攻撃です。詳しくは過去記事をご覧ください。

端的に言うと、Basic認証を埋め込んだURLは@より前を自由に表記出来るので、アドレスバー偽装に応用利くのでは？と思いぽこぽこ叩いた結果、都合のいいことにSafariは@より前をそのまま表示させる仕様でした。(認証情報は表示させないと決められているようで、RFC違反っぽい)

　詳しい試行過程は割愛しますが、パスワードは必要のようです。まず、基本形は「http://www.google.co.jp:443@hack.vet」となります。このままだと、偽装とは呼べないので、邪魔な「:443@hack.vet」を空白文字で埋めてアドレスバーから見えなくする方法を思いつきました。そう簡単にいかなく、よくある空白文字はパーセントエンコーディングされるので上手くいきませんでした。なので、一見空白文字に見える文字を使えば良いのでは？という発想から、Unicode文字表とにらめっこした結果、幾つか見つけたのでアドレスバー偽装が出来ました。

　PoCに埋め込んでいるのは、＜検問済み＞です。（諸般の事情により削除しました）

　ただ、ユーザ名部分に文字数制限があるようで、ある程度の空白に見える文字しか挿入できないので、横幅約2000px以上の解像度のディスプレイだと見えちゃいけない部分が見えてしまいます。とは言え、世の中的に1920x1080, 1920x1200より大きい解像度のディスプレイはそう多くはないと思うのでそれなりに使えるかも。ただ、Retinaディスプレイの解像度を標準を超えて表示させている環境だとダメですが、MacBook Pro Retina 15-inch(FullHD)だと隠れていました。

ちなみに下記のように見えちゃいけない部分が見えてしまいます。

f:id:reinforchu:20170203184241p:plain