منظور از آسیبپذیری Address bar spoofing ضعفی در مرورگر است که به وبسایت آلوده این امکان را میدهد تا URL جایگزینی را بجای URL واقعی وبسایت به کاربر نمایش دهد.
در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحهنمایش و عدم وجود برخی از ویژگیهای امنیتی، موجود نیست.
ده مورد از این آسیبپذیری در 7 مرورگر موبایلی نامآشنا، از قبیل Apple Safari، Opera Touchو Opera Mini و مرورگرهای دیگری همچون Bolt، RITS، UC Browserو Yandex Browserدیده میشود. در اوایل سال جاری میلادی این موارد شناسایی و در ماه اگوست به سازندگان مرورگرها اعلان شد. سازندگان نامآشنا بهصورت آنی وصلههای لازم را ارائه دادند ولی سازندگان دیگر هیچ اقدامی در این خصوص انجام ندادند. در جدول 1 لیست آسیبپذیری آورده شده است.
جدول 1- لیست آسیبپذیری
|
شناسه آسیبپذیری |
شرکت سازنده |
مرورگر |
نسخه |
پلتفرم |
آیا اصلاحیهای انجامشده؟ |
|
CVE-2020-7363 |
UCWeb |
UC Broser |
13.0.8 |
اندروید |
پاسخی از طرف شرکت سازنده دریافت نشده است. |
|
CVE-2020-7364 |
UCWeb |
UC Broser |
13.0.8 |
اندروید |
پاسخی از طرف شرکت سازنده دریافت نشده است. |
|
CVE TBD-Opera |
Opera |
Opera Mini |
51.0.2254 |
اندروید |
در11 نوامبر سال 2020 رفع خواهد شد. |
|
CVE TBD-Opera |
Opera |
Opera Touch |
2.4.4 |
iOS |
در11 نوامبر سال 2020 رفع خواهد شد. |
|
CVE TBD-Opera |
Opera |
Opera Touch |
2.4.4 |
iOS |
در11 نوامبر سال 2020 رفع خواهد شد. |
|
CVE TBD-Opera |
Opera |
Opera Touch |
2.4.4 |
iOS |
در11 نوامبر سال 2020 رفع خواهد شد. |
|
CVE-2020-7369 |
Yandex |
Yandex Browser |
20.8 |
اندروید |
پاسخ داده شده اما پیگیری صورت نگرفته است. |
|
CVE-2020-7370 |
Danyil Vasilenko |
Bolt Browser |
1.4 |
iOS |
ایمیل پشتیبانی ریجکت شده و امنیت اپل را تغییر داده است |
|
CVE-2020-7371 |
Raise IT Solutions |
RITS Browser |
3.3.9 |
اندروید |
پاسخی از طرف شرکت سازنده دریافت نشده است. |
|
CVE-2020-7387 |
Apple |
Safaro |
iOS 13.6 |
iOS |
اصلاحیه منتشر شده است. |
بنا به مطالعات انجامشده میتوان نتیجه گرفت که این آسیبپذیری با ایجاد تداخل مابین زمان بارگذاری صفحه و زمان رفرش (Refresh) آدرس URL، منجر به نمایش آدرس اشتباه به کاربر میگردد. بنابراین بهرهبرداری از این باگ، مستلزم استفاده کاربر از مرورگر منسوخشده و بازدید کاربر از سایت آلوده است.
با توجه به موارد گفتهشده میتوان نتیجه گرفت که اجرای این حملات بسیار ساده و راحت است. پس پیشنهاد میشود که کاربران هرچه سریعتر مرورگر خود را بهروزرسانی کرده یا از مرورگرهای فاقد این آسیبپذیری استفاده نمایند.
منبع:
https://www.zdnet.com/article/seven-mobile-browsers-vulnerable-to-address-bar-spoofing-attacks/#ftag=RSSbaffb68