Pishing via le plein écran HTML5: preuve de concept.
Pishing via le plein écran HTML5: preuve de concept.
Bonjour,
Un site vient de mettre une preuve d'un concept de pishing exploitant la fonction FullScreen d'HTML5.
http://feross.org/html5-fullscreen-api-attack/
L'attaque est assez bien faite puisqu'elle reproduit l'environnement de ma distribution Ubuntu. Si on ne fait pas attention, on tombe dans le panneau.
Je me souviens que lors de la sortie de la balise vidéo, beaucoup demandaient la fonction plein écran et Mozilla disait qu'il cherchait un moyen d'éviter ce qui s'était produit avec les pop-up.
Que cela soit Chrome ou Firefox, ils affichent un pop demandant une autorisation. J'imagine que l'autorisation est basé sur le nom de domaine. Mas les pishing arrive à piéger les personnes connaissant mal les notions de nom de domaine.
Ce qui est amusant c'est que sur mon Nexus S, Firefox affiche en plein écran une interface Ubuntu. Pour ceux qui utilisent d'autres distribution qu'Ubuntu, je crois qu'il n'y a pas d'interface prévu pour eux (en virtual box, voir une Mageia affiche une interface Ubuntu, cela éveille pus les soupçons. Mais ce n'est que le haut de l'écran à faire changer: les navigateurs se ressemblant de plus en plus; modifier seulement les parties qui changent ne devrait pas prendre longtemps.
Je pense que certains information dans l'UA devrait être enlevées. Dans l'absolu, seul Firefox et sa version sont importants.
Un site vient de mettre une preuve d'un concept de pishing exploitant la fonction FullScreen d'HTML5.
http://feross.org/html5-fullscreen-api-attack/
L'attaque est assez bien faite puisqu'elle reproduit l'environnement de ma distribution Ubuntu. Si on ne fait pas attention, on tombe dans le panneau.
Je me souviens que lors de la sortie de la balise vidéo, beaucoup demandaient la fonction plein écran et Mozilla disait qu'il cherchait un moyen d'éviter ce qui s'était produit avec les pop-up.
Que cela soit Chrome ou Firefox, ils affichent un pop demandant une autorisation. J'imagine que l'autorisation est basé sur le nom de domaine. Mas les pishing arrive à piéger les personnes connaissant mal les notions de nom de domaine.
Ce qui est amusant c'est que sur mon Nexus S, Firefox affiche en plein écran une interface Ubuntu. Pour ceux qui utilisent d'autres distribution qu'Ubuntu, je crois qu'il n'y a pas d'interface prévu pour eux (en virtual box, voir une Mageia affiche une interface Ubuntu, cela éveille pus les soupçons. Mais ce n'est que le haut de l'écran à faire changer: les navigateurs se ressemblant de plus en plus; modifier seulement les parties qui changent ne devrait pas prendre longtemps.
Je pense que certains information dans l'UA devrait être enlevées. Dans l'absolu, seul Firefox et sa version sont importants.
Re: Pishing via le plein écran HTML5: preuve de concept.
intéressant, et ça semble assez simple à mettre en place... Je me demande comment il pourrait y être remédié...
Re: Pishing via le plein écran HTML5: preuve de concept.
Déjà, quand tu passes en mode plein écran, Firefox affiche un pop-up t'indiquant que le nom de domaine XXX souhaite basculer en mode plein écran. Donc, si tu lis correctement, tu vois que le NDD a changé entre celui du lien affiché et celui qui demande le mode plein écran.
Re: Pishing via le plein écran HTML5: preuve de concept.
oui mais une bonne parti des utilisateurs ne lisent pas les boites de dialogues, ils se contentent de cliquer sur le bouton "Oui" ou "OK".
Il faudrait donc que Firefox détecte qu'il y a eu redirection et bloque alors le chargement de la page, ou en limite les droits d’exécution (par exemple, pas de saisir clavier)
Il faudrait donc que Firefox détecte qu'il y a eu redirection et bloque alors le chargement de la page, ou en limite les droits d’exécution (par exemple, pas de saisir clavier)
Re: Pishing via le plein écran HTML5: preuve de concept.
C'est mal malheureusement vrai.caméléon a écrit :oui mais une bonne parti des utilisateurs ne lisent pas les boites de dialogues, ils se contentent de cliquer sur le bouton "Oui" ou "OK".
De plus la fausse page affiche une horloge qui n'est pas à la bonne heure et autres détails qui mettent la puce à l'oreille. Mais le pekin moyen ne verra pas ses détails.
Re: Pishing via le plein écran HTML5: preuve de concept.
Il faudrait que si le domaine soit différent que le popup qui indique le plain écran soit avec une alerte rouge de danger. Déjà ça limiterait l'envie de faire « okay » sans lire... Ça serait plus bêtement « annuler » sans lire.
Mon blog de dév web ― Thème pour le forum Geckozone ― Le clavier Latin-9 fr sous Windows ― Raccourcis clavier pour Firefox
Debian 8 KDE avec Firefox & Nightly
Debian 8 KDE avec Firefox & Nightly
Re: Pishing via le plein écran HTML5: preuve de concept.
Le problème c'est que le passage en plein écran se fait par JavaScript : il n'y a pas de changement pas de domaine au moment du passage en plein écran.
Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout
Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout
Le monde se divise en 10 catégories : ceux qui comptent en binaire et ceux qui ne comptent pas en binaire.
Re: Pishing via le plein écran HTML5: preuve de concept.
C'est déjà le cas pour certaines actions ? (sauf qu'on peu simuler le : onclick, onkeypress, ... )Uther a écrit :Le problème c'est que le passage en plein écran se fait par JavaScript : il n'y a pas de changement pas de domaine au moment du passage en plein écran.
Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout
Mon blog de dév web ― Thème pour le forum Geckozone ― Le clavier Latin-9 fr sous Windows ― Raccourcis clavier pour Firefox
Debian 8 KDE avec Firefox & Nightly
Debian 8 KDE avec Firefox & Nightly
Qui est en ligne ?
Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités