Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 6
偽エラー画面で誘導できるというやつ 部門より
Internet ExplorerやMicrosoft Edgeでは、危険なWebサイトを警告する「SmartScreen」機能が搭載されているが、Microsoft EdgeのSmartScreenで、URLを偽装した警告画面を表示可能な問題が発見された(Broken Browser、Softpedia)。
SmartScreenの警告ページが表示される際、アドレスバーにはアクセスしようとしているURLが表示される。この表示内容自体は実行ファイルやDLLのリソースから取得されたもので、Edgeの場合警告ページは「ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm」のようなURLに格納されている。このURLをMicrosoft Edgeのアドレスバーに直接入力してもWeb検索結果が表示されるだけだが、「.」を「%2e」に置き換えてリンク先に指定すると警告ページが表示される。
これだけではアドレスバーに表示されるURLが元のページのままとなるが、ハッシュで別のURLを指定することで任意のURLを表示させることが可能となる。さらに、クエリパラメーターとして「BlockedDomain」を指定することでブロックされたドメイン、「Host」を指定することで追加情報(日本語環境では「ホスト元」として表示される)をそれぞれページ上に表示させることが可能だ。また、これらのクエリパラメーターに電話番号のような文字列を含めると自動でリンク化され、電話アプリなどを直接呼び出すことも可能となる。そのため、Broken Browserの記事では詐欺師にとって非常に便利な機能だと述べている。
なお、Broken Browserの記事ではwindow.openメソッドを使用する必要があるような記述になっているが、リンクでも警告ページの表示は可能だった。「PhishSiteEdge.htm」のままで動作しない理由としては、リソース内の特定のファイルが直接呼び出されないようブロックリストに登録されており、「PhishSiteEdge%2ehtm」とすることでチェックが回避できるものとみられる。
日本語も (スコア:1)
普通に書けちゃいますね。
かなりの長文も書けるし、電話番号を複数含めることも可能。
電話番号と判定されたり、されなかったりで判定が微妙だけど・・・
URLエンコード…Nimda…ブロックリスト回避… (スコア:0)
うっ頭が
なんでMicrosoftはこんなんなってしまうのか (スコア:0)
技術力が低い会社でもないしセキュリティを軽視している会社でもないはずなんだが、
ちょいちょい間抜けすぎるセキュリティホール出すよな。
Re: (スコア:0)
平和な楽園に生まれ育つと犯罪の方法すら思いつかなくなるとかじゃないかな
Re: (スコア:0)
Edge や IE のアドレス/検索バーで、url.com みたいなものを検索しようとすると
http://url.com/ [url.com] にアクセスしてしまうのもセキュリティホールだと思う。
検索されそうな「なんちゃら.com」とか「なんちゃら.net」で悪意のある
Webサイトを運営されてたらどうするんだろうか。
Firefox の場合、アドレスバーは IE なんかと同じ動作だけど、アドレスバーは、
あくまで(検索もできる)アドレスバーであって、別に検索バーがあるからまだまし
だけど、アドレスバーはアドレスを入力・表示することに徹する方が
いいんじゃないかなあ。
Re: (スコア:0)
Chromeに至ってはコンテンツ表示内の入力欄に入力しようとするとアドレスバーに飛ぶ。
どちらもプルダウンで選択できるので慎重なときはいいんですが。