モバイル版Chromeに偽アドレスバーを表示するフィッシング手法 15
ストーリー by headless
偽物 部門より
偽物 部門より
モバイル版Chromeに偽のアドレスバーを表示するという新たなフィッシング手法「inception bar」をソフトウェア開発者のJames Fisher氏が公開している(Fisher氏のブログ記事、
Neowinの記事、
SlashGearの記事)。
Chromeなどのモバイルブラウザーはページをスクロールダウンしたときにアドレスバーを非表示化し、コンテンツの表示エリアを拡大する仕組みを備えている。inception barはこの仕組みを利用したもので、本物のアドレスバーが非表示化されたタイミングで偽のアドレスバーを表示するdivエレメントとページコンテンツを表示するdivエレメントを追加する。ページコンテンツを表示するdivエレメントは画面サイズに応じたサイズが指定されており、CSSプロパティのoverflowにscrollを指定することでコンテンツのスクロールがブラウザー側で検出されないようにしている。これにより、ページをスクロールアップしても本物のアドレスバーが表示されない仕組みだ。
仕組みとしてはChrome以外のブラウザーでも利用可能だが、微妙な動作の差異により本物のアドレスバーが表示されたままになることや、偽のアドレスバーの表示が崩れたり、コンテンツブロッカーでブロックされたりすることもあるようだ。Chromeの場合でも2本のアドレスバーが表示されるといった報告が出ている。また、偽アドレスバー部分はoverflowプロパティが指定されていないため、スクロールしようとしてこの部分に触れると本物のアドレスバーが表示される。
Fisher氏のブログ記事はそれ自体がPoCとなっており、モバイルブラウザーで表示することで動作を確認できる。PoCの偽アドレスバーは画像のみだが、実際にアドレスバーのような機能を追加することも可能だ。コンテンツ領域に偽のUI要素を表示する手法は以前からあるものだが、Fisher氏はinception barに対するChromeの動作をセキュリティ上の欠陥と考えており、わずかなスペースを犠牲にしてでも本物のアドレスバーが隠されていることを示すような修正を提案している。
Chromeなどのモバイルブラウザーはページをスクロールダウンしたときにアドレスバーを非表示化し、コンテンツの表示エリアを拡大する仕組みを備えている。inception barはこの仕組みを利用したもので、本物のアドレスバーが非表示化されたタイミングで偽のアドレスバーを表示するdivエレメントとページコンテンツを表示するdivエレメントを追加する。ページコンテンツを表示するdivエレメントは画面サイズに応じたサイズが指定されており、CSSプロパティのoverflowにscrollを指定することでコンテンツのスクロールがブラウザー側で検出されないようにしている。これにより、ページをスクロールアップしても本物のアドレスバーが表示されない仕組みだ。
仕組みとしてはChrome以外のブラウザーでも利用可能だが、微妙な動作の差異により本物のアドレスバーが表示されたままになることや、偽のアドレスバーの表示が崩れたり、コンテンツブロッカーでブロックされたりすることもあるようだ。Chromeの場合でも2本のアドレスバーが表示されるといった報告が出ている。また、偽アドレスバー部分はoverflowプロパティが指定されていないため、スクロールしようとしてこの部分に触れると本物のアドレスバーが表示される。
Fisher氏のブログ記事はそれ自体がPoCとなっており、モバイルブラウザーで表示することで動作を確認できる。PoCの偽アドレスバーは画像のみだが、実際にアドレスバーのような機能を追加することも可能だ。コンテンツ領域に偽のUI要素を表示する手法は以前からあるものだが、Fisher氏はinception barに対するChromeの動作をセキュリティ上の欠陥と考えており、わずかなスペースを犠牲にしてでも本物のアドレスバーが隠されていることを示すような修正を提案している。
めんどくさい (スコア:1)
これ以前から指摘されてデモサイトを見た記憶もあるんだけど、攻撃手段としてとてつもなくめんどくさいんだよね。
実際の攻撃手段としてあまり聞いた事ないのもそのせいだと思う。
確かに画像一枚で対応すれば簡単ではあるんだが、違和感がありすぎて余計な事をしない方がマシレベル。
誰かがオープンソースで実装すれば流行るかもしれない。
モバイル版Firefoxならツールバーにテーマが適用されるから分かりやすい。
Chromeならこの際chrome://flags#enable-chrome-homeでアドレスバーを下にしたりすれば分かりやすくて便利かね。これはちょっと好みだな。
Mobile Safariだと (スコア:0)
かなり細くなりますが、ホスト名は常に表示されるので偽装を見破るのは簡単ですね。
そもそもURLを見てる一般人はほとんどいないので、アドレスバーがあってもなくてもフィッシングのリスクは変わらないかも知れませんが。
新技術は (スコア:0)
同時に新しい犯罪(手口)を産むってことなんだろうけどなんだかなぁ
良いことにも悪いことにも使えるのはしょうがないのかなぁ
Re: (スコア:0)
同時に新しい犯罪(手口)を産むってことなんだろうけどなんだかなぁ
いやいや
ベータに実装された時点ですでに
この手口は見越されて文句でてたから
今頃やってみました危険です!
とか今更なネタでしかない
Re: (スコア:0)
今になってもまだ対策がなされずに放置されているから、注意喚起するのは良いのではないでしょうか?
最近デスクトップブラウザでアドレスバーなどの出ないフルスクリーン表示にして、偽のアドレスバーを表示するフィッシングの実物に遭遇しました。
この手のフィッシングが流行っているのかもしれません。
Re: (スコア:0)
GoogleはURLを滅ぼしてインターネットを古のガラケー公式サイトみたいに囲い込もうとしてるからな
Re:新技術は (スコア:2)
そもそもコンシューマー向けではインターネットへのアクセス手段が
ウェブブラウザからスマホアプリに移行してきているんで
URLはすでにユーザーからは見えないものになってきています。
Re: (スコア:0)
Googleがやりたいことは総SSL化含めて考えるべきでは
マジかよIEクソだな (スコア:0)
Internet Explorerを見倣っておけば [takagi-hiromitsu.jp]、Internet Explorerのようにアドレスバーを偽装される [nikkeibp.co.jp]なんてことは起きなかったのに…!
Re: (スコア:0)
Chromeは「初めからアドレスバーを表示しない」というIEの斜め上を行く対策を取ってるからな。さすGoogle。
Re: (スコア:0)
10年以上前の記事を「最近」とか言っちゃってるあたり、倒産間近って何百年後の話だ?という気がしてくる。
# きっと人類とは異なる時間を歩んでるエルフかドワーフの類なのだろう
なるほどわからん (スコア:0)
仮にデスクトップ版も同じように、スクロールダウンしたときにアドレスバーを非表示化するような挙動だったなら、デスクトップ版では効果あったかもしれないがモバイル版の話だろ?
スマホでChromeのアドレスバーに、わざわざスクロールアップで戻って直接入力するやつがそんなにいるの?
スマホだといちいちスクロールアップするのも、そこから入力するのも面倒くさいから、検索用からなにから全部開きっぱなしにしとくだろ
またそういう利用が増えたから、モバイル版Chromeはモバイル版Firefoxみたいにブラウザ単位でタブを管理させるのを止めて、タスク管理から直接目的のChromeタブに飛べるようにしたんじゃなかったの?
このフィッシング手法にひっかかる人がいることが信じられない
スクロールアップして上まで戻るだけも面倒くさいだろ
宗教上の理由でタブを開きっぱなしにしておくことが禁止されているのだとしても、わざわざスクロールアップするより閉じて新しいの開いた方が遥かに楽
Re: (スコア:0)
使い方は人それぞれだという事が理解できない馬鹿がいることが信じられない
Re: (スコア:0)
フィッシング方法だって書いてあるだろ。偽サイトを本物らしく見せるための方法の一つとして利用されるってこと。