愿這頭雄獅能克服自身的缺點(diǎn)不斷成長(zhǎng),讓用戶在上網(wǎng)時(shí)不再畏懼潛在的威脅。
作為一款開(kāi)源軟件,Brave一直以廣告攔截,防cookie追蹤、像素追蹤等安全特性著稱。產(chǎn)品安全一直被開(kāi)發(fā)者視為重中之重,他們?cè)贖ackerone平臺(tái)就開(kāi)設(shè)了bug有獎(jiǎng)?wù)骷?xiàng)目,鼓勵(lì)廣大的網(wǎng)絡(luò)安全人士參與到提高產(chǎn)品可靠性的活動(dòng)中來(lái)。
本次漏洞正是由安全研究人員Aaditya Purani在Hackerone平臺(tái)上首先披露的。他發(fā)現(xiàn)攻擊者可以利用瀏覽器漏洞偽造網(wǎng)頁(yè)進(jìn)行網(wǎng)址欺騙,一旦用戶點(diǎn)擊訪問(wèn)就可能泄漏個(gè)人信息,攻擊者更可以在虛假頁(yè)面上實(shí)施掛馬和釣魚(yú)等行為。
簡(jiǎn)而言之,受害者看到地址欄里還是熟悉的網(wǎng)址,但頁(yè)面內(nèi)容卻是由黑客控制的。
“我們本以為地址欄已經(jīng)是唯一信得過(guò)的安全提示了”,許多公司這樣感嘆道。
重現(xiàn)漏洞
下面是Purani 如何操作的:
首先他寫(xiě)了一個(gè)網(wǎng)址來(lái)偽造Brave瀏覽器地址欄(bravespoof.html)。為了模擬受害者環(huán)境,他還在這個(gè)網(wǎng)址里包含了一個(gè)要求用戶提供登錄名和密碼的表單。接下來(lái)的關(guān)鍵在于,他使用函數(shù)f()指向https://facebook.com,并且設(shè)定setInterval函數(shù)每10ms執(zhí)行一次f()。
通常情況下,這種做法會(huì)使得用戶訪問(wèn)該網(wǎng)址時(shí),URL和頁(yè)面內(nèi)容每隔10ms都會(huì)跳轉(zhuǎn)到https://facebook.com(當(dāng)然也有時(shí)無(wú)論URL或頁(yè)面都沒(méi)有任何跳轉(zhuǎn),但這兩種情況顯然都是安全的)。但是Purani發(fā)現(xiàn),當(dāng)使用Brave瀏覽器訪問(wèn)上述地址時(shí),事情卻沒(méi)有這么簡(jiǎn)單。事實(shí)上,無(wú)論你通過(guò)Android還是IOS的Brave客戶端去訪問(wèn)他構(gòu)造好的網(wǎng)址,URL都會(huì)跳轉(zhuǎn)到https://facebook.com(你可以看到甚至還有綠鎖安全認(rèn)證),但頁(yè)面卻還是Purani預(yù)先寫(xiě)好的內(nèi)容。
這就意味著,某個(gè)習(xí)慣通過(guò)地址欄來(lái)判斷安全性的用戶很可能不經(jīng)意間就把帳號(hào)密碼泄漏給了虛假頁(yè)面之后的黑客。(當(dāng)然了黑客需要把網(wǎng)頁(yè)做的更逼真一些:P)
其他瀏覽器反應(yīng)如何?
在Purani對(duì)Chrome的測(cè)試中,瀏覽器并沒(méi)有更改URL到https://facebook.com,而是依舊停留在他偽造的網(wǎng)址上。Mozilla也給出了同樣反應(yīng)。但最讓Purani滿意的還是UC Mini(安卓平臺(tái))——無(wú)論網(wǎng)址還是頁(yè)面都直接跳轉(zhuǎn)到了https://facebook.com,將攻擊消弭于無(wú)形。當(dāng)然了,Safari也沒(méi)有受此影響。
如果你對(duì)完整漏洞報(bào)告感興趣,戳這里
沒(méi)錯(cuò),在他的一系列測(cè)試中,只有Brave悲劇了。受此漏洞影響的版本如下:
IOS Version 1.2.16(16.09.30.10)
Android Version 1.9.56
如果看到這里的你正使用上述受到影響的版本…也不用擔(dān)心,因?yàn)檫@份漏洞報(bào)告是直到3個(gè)月后(的今天)才被公布出來(lái)的,而B(niǎo)rave安全團(tuán)隊(duì)早已于發(fā)現(xiàn)一周內(nèi)修復(fù)了這個(gè)問(wèn)題,因此暫無(wú)負(fù)面影響。
當(dāng)然,好處還是有的——Purani本人因此獲得了200$的獎(jiǎng)金。在此之前Purani也曾向一眾企業(yè)和機(jī)構(gòu)提交多起高危安全漏洞,如WordPress Mobile Detector插件漏洞等。白帽子和安全平臺(tái)的合作不僅協(xié)助了眾多中小企業(yè)改善企業(yè)的安全環(huán)境,也讓白帽子們收獲頗豐。