Pishing via le plein écran HTML5: preuve de concept.

Des nouvelles intriguent, portent à réactions ; des rumeurs courent et vous voulez débattre le vrai du faux. C'est simple : ce forum est dédié à ceux qui se sont laissés tenter par la pomme de la connaissance.
vulcain
Varan
Messages : 1732
Inscription : 20 juil. 2010, 08:41

Pishing via le plein écran HTML5: preuve de concept.

Message par vulcain »

Bonjour,

Un site vient de mettre une preuve d'un concept de pishing exploitant la fonction FullScreen d'HTML5.
http://feross.org/html5-fullscreen-api-attack/

L'attaque est assez bien faite puisqu'elle reproduit l'environnement de ma distribution Ubuntu. Si on ne fait pas attention, on tombe dans le panneau.
Je me souviens que lors de la sortie de la balise vidéo, beaucoup demandaient la fonction plein écran et Mozilla disait qu'il cherchait un moyen d'éviter ce qui s'était produit avec les pop-up.
Que cela soit Chrome ou Firefox, ils affichent un pop demandant une autorisation. J'imagine que l'autorisation est basé sur le nom de domaine. Mas les pishing arrive à piéger les personnes connaissant mal les notions de nom de domaine.

Ce qui est amusant c'est que sur mon Nexus S, Firefox affiche en plein écran une interface Ubuntu. Pour ceux qui utilisent d'autres distribution qu'Ubuntu, je crois qu'il n'y a pas d'interface prévu pour eux (en virtual box, voir une Mageia affiche une interface Ubuntu, cela éveille pus les soupçons. Mais ce n'est que le haut de l'écran à faire changer: les navigateurs se ressemblant de plus en plus; modifier seulement les parties qui changent ne devrait pas prendre longtemps.

Je pense que certains information dans l'UA devrait être enlevées. Dans l'absolu, seul Firefox et sa version sont importants.
caméléon
Animal mythique
Messages : 9528
Inscription : 08 nov. 2004, 17:54

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par caméléon »

intéressant, et ça semble assez simple à mettre en place... Je me demande comment il pourrait y être remédié...
Avatar de l’utilisateur
Abraxas
Animal mythique
Messages : 10180
Inscription : 28 juil. 2011, 14:06

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par Abraxas »

Déjà, quand tu passes en mode plein écran, Firefox affiche un pop-up t'indiquant que le nom de domaine XXX souhaite basculer en mode plein écran. Donc, si tu lis correctement, tu vois que le NDD a changé entre celui du lien affiché et celui qui demande le mode plein écran.
caméléon
Animal mythique
Messages : 9528
Inscription : 08 nov. 2004, 17:54

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par caméléon »

oui mais une bonne parti des utilisateurs ne lisent pas les boites de dialogues, ils se contentent de cliquer sur le bouton "Oui" ou "OK".

Il faudrait donc que Firefox détecte qu'il y a eu redirection et bloque alors le chargement de la page, ou en limite les droits d’exécution (par exemple, pas de saisir clavier)
vulcain
Varan
Messages : 1732
Inscription : 20 juil. 2010, 08:41

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par vulcain »

caméléon a écrit :oui mais une bonne parti des utilisateurs ne lisent pas les boites de dialogues, ils se contentent de cliquer sur le bouton "Oui" ou "OK".
C'est mal malheureusement vrai.

De plus la fausse page affiche une horloge qui n'est pas à la bonne heure et autres détails qui mettent la puce à l'oreille. Mais le pekin moyen ne verra pas ses détails.
Zefling
Tyrannosaurus Rex
Messages : 2577
Inscription : 21 déc. 2004, 03:45

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par Zefling »

Il faudrait que si le domaine soit différent que le popup qui indique le plain écran soit avec une alerte rouge de danger. Déjà ça limiterait l'envie de faire « okay » sans lire... Ça serait plus bêtement « annuler » sans lire. :mrgreen:
Mon blog de dév web ― Thème pour le forum Geckozone ― Le clavier Latin-9 fr sous Windows ― Raccourcis clavier pour Firefox
Debian 8 KDE avec Firefox & Nightly
Uther
Lézard à collerette
Messages : 472
Inscription : 12 juin 2004, 17:43

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par Uther »

Le problème c'est que le passage en plein écran se fait par JavaScript : il n'y a pas de changement pas de domaine au moment du passage en plein écran.

Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout
Le monde se divise en 10 catégories : ceux qui comptent en binaire et ceux qui ne comptent pas en binaire.
Zefling
Tyrannosaurus Rex
Messages : 2577
Inscription : 21 déc. 2004, 03:45

Re: Pishing via le plein écran HTML5: preuve de concept.

Message par Zefling »

Uther a écrit :Le problème c'est que le passage en plein écran se fait par JavaScript : il n'y a pas de changement pas de domaine au moment du passage en plein écran.

Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout
C'est déjà le cas pour certaines actions ? (sauf qu'on peu simuler le : onclick, onkeypress, ... )
Mon blog de dév web ― Thème pour le forum Geckozone ― Le clavier Latin-9 fr sous Windows ― Raccourcis clavier pour Firefox
Debian 8 KDE avec Firefox & Nightly
Répondre

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités