パスワードを忘れた? アカウント作成
13900245 story
Chrome

モバイル版Chromeに偽アドレスバーを表示するフィッシング手法 15

ストーリー by headless
偽物 部門より
モバイル版Chromeに偽のアドレスバーを表示するという新たなフィッシング手法「inception bar」をソフトウェア開発者のJames Fisher氏が公開している(Fisher氏のブログ記事Neowinの記事SlashGearの記事)。

Chromeなどのモバイルブラウザーはページをスクロールダウンしたときにアドレスバーを非表示化し、コンテンツの表示エリアを拡大する仕組みを備えている。inception barはこの仕組みを利用したもので、本物のアドレスバーが非表示化されたタイミングで偽のアドレスバーを表示するdivエレメントとページコンテンツを表示するdivエレメントを追加する。ページコンテンツを表示するdivエレメントは画面サイズに応じたサイズが指定されており、CSSプロパティのoverflowにscrollを指定することでコンテンツのスクロールがブラウザー側で検出されないようにしている。これにより、ページをスクロールアップしても本物のアドレスバーが表示されない仕組みだ。

仕組みとしてはChrome以外のブラウザーでも利用可能だが、微妙な動作の差異により本物のアドレスバーが表示されたままになることや、偽のアドレスバーの表示が崩れたり、コンテンツブロッカーでブロックされたりすることもあるようだ。Chromeの場合でも2本のアドレスバーが表示されるといった報告が出ている。また、偽アドレスバー部分はoverflowプロパティが指定されていないため、スクロールしようとしてこの部分に触れると本物のアドレスバーが表示される。

Fisher氏のブログ記事はそれ自体がPoCとなっており、モバイルブラウザーで表示することで動作を確認できる。PoCの偽アドレスバーは画像のみだが、実際にアドレスバーのような機能を追加することも可能だ。コンテンツ領域に偽のUI要素を表示する手法は以前からあるものだが、Fisher氏はinception barに対するChromeの動作をセキュリティ上の欠陥と考えており、わずかなスペースを犠牲にしてでも本物のアドレスバーが隠されていることを示すような修正を提案している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年05月02日 12時34分 (#3608857)

    これ以前から指摘されてデモサイトを見た記憶もあるんだけど、攻撃手段としてとてつもなくめんどくさいんだよね。
    実際の攻撃手段としてあまり聞いた事ないのもそのせいだと思う。

    • 最初に表示されるアドレスは偽装できない。
    • UAを見てブラウザ毎に実装が必要。
    • 同じブラウザでもバージョンにより表示が変わる。
    • スクロール時の挙動が難しい。できれば上スクロール時を乗っ取りたいが、ジェスチャーキャプチャをして独自にコンテンツを表示したりするのはしんどい。
    • 操作時の挙動も難しい。アドレスバーをタップした時の表示は複雑。
    • 多言語対応も高コスト(表示だけなら不要)。

    確かに画像一枚で対応すれば簡単ではあるんだが、違和感がありすぎて余計な事をしない方がマシレベル。
    誰かがオープンソースで実装すれば流行るかもしれない。

    モバイル版Firefoxならツールバーにテーマが適用されるから分かりやすい。
    Chromeならこの際chrome://flags#enable-chrome-homeでアドレスバーを下にしたりすれば分かりやすくて便利かね。これはちょっと好みだな。

  • by Anonymous Coward on 2019年05月02日 11時58分 (#3608845)

    かなり細くなりますが、ホスト名は常に表示されるので偽装を見破るのは簡単ですね。

    そもそもURLを見てる一般人はほとんどいないので、アドレスバーがあってもなくてもフィッシングのリスクは変わらないかも知れませんが。

  • by Anonymous Coward on 2019年05月02日 12時09分 (#3608846)

    同時に新しい犯罪(手口)を産むってことなんだろうけどなんだかなぁ
    良いことにも悪いことにも使えるのはしょうがないのかなぁ

    • by Anonymous Coward

      同時に新しい犯罪(手口)を産むってことなんだろうけどなんだかなぁ

      いやいや
      ベータに実装された時点ですでに
      この手口は見越されて文句でてたから

      今頃やってみました危険です!
      とか今更なネタでしかない

      • by Anonymous Coward

        今になってもまだ対策がなされずに放置されているから、注意喚起するのは良いのではないでしょうか?
        最近デスクトップブラウザでアドレスバーなどの出ないフルスクリーン表示にして、偽のアドレスバーを表示するフィッシングの実物に遭遇しました。
        この手のフィッシングが流行っているのかもしれません。

    • by Anonymous Coward

      GoogleはURLを滅ぼしてインターネットを古のガラケー公式サイトみたいに囲い込もうとしてるからな

      • by hakikuma (47737) on 2019年05月04日 16時39分 (#3609529)
        Googleが、ではなく業界全体的にではないでしょうか。

        そもそもコンシューマー向けではインターネットへのアクセス手段が
        ウェブブラウザからスマホアプリに移行してきているんで
        URLはすでにユーザーからは見えないものになってきています。
        親コメント
      • by Anonymous Coward

        Googleがやりたいことは総SSL化含めて考えるべきでは

  • by Anonymous Coward on 2019年05月02日 12時32分 (#3608855)

    Internet Explorerを見倣っておけば [takagi-hiromitsu.jp]、Internet Explorerのようにアドレスバーを偽装される [nikkeibp.co.jp]なんてことは起きなかったのに…!

    • by Anonymous Coward

      Chromeは「初めからアドレスバーを表示しない」というIEの斜め上を行く対策を取ってるからな。さすGoogle。

  • by Anonymous Coward on 2019年05月02日 12時48分 (#3608863)

    仮にデスクトップ版も同じように、スクロールダウンしたときにアドレスバーを非表示化するような挙動だったなら、デスクトップ版では効果あったかもしれないがモバイル版の話だろ?

    スマホでChromeのアドレスバーに、わざわざスクロールアップで戻って直接入力するやつがそんなにいるの?
    スマホだといちいちスクロールアップするのも、そこから入力するのも面倒くさいから、検索用からなにから全部開きっぱなしにしとくだろ

    またそういう利用が増えたから、モバイル版Chromeはモバイル版Firefoxみたいにブラウザ単位でタブを管理させるのを止めて、タスク管理から直接目的のChromeタブに飛べるようにしたんじゃなかったの?

    このフィッシング手法にひっかかる人がいることが信じられない
    スクロールアップして上まで戻るだけも面倒くさいだろ
    宗教上の理由でタブを開きっぱなしにしておくことが禁止されているのだとしても、わざわざスクロールアップするより閉じて新しいの開いた方が遥かに楽

    • by Anonymous Coward

      使い方は人それぞれだという事が理解できない馬鹿がいることが信じられない

    • by Anonymous Coward

      フィッシング方法だって書いてあるだろ。偽サイトを本物らしく見せるための方法の一つとして利用されるってこと。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...