Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties

Door een probleem in de desktopversie van Chrome kunnen kwaadwillenden de tekst in de adresbalk aanpassen. Daardoor kan een website zich voordoen als een andere website. Daarbij lijkt ook het eventuele ssl-certificaat te kloppen.

Beveiligingsonderzoeker David Leo publiceerde informatie over het beveiligingsprobleem en een werkende proof of concept op de Full Disclosure-mailinglijst. Met behulp van javascript kan een document de inhoud van de adresbalk aanpassen. Tweakers heeft kunnen verifiëren dat het beveiligingsprobleem aanwezig is in de desktopversie van Chrome; de mobiele versie lijkt niet kwetsbaar te zijn. Ook andere browsers zijn niet kwetsbaar.

In de proof of concept gaat het om een pop-up waarvan de adresbalk wordt aangepast; het is niet duidelijk of de aanval ook werkt bij een regulier browservenster. Een andere beperking is dat de aanval afhankelijk is van time-outs; is de verbinding met een server te traag, dan kan de aanval niet snel genoeg plaatsvinden en werkt hij niet. Als lokaal bestand werkt de aanval in ieder geval wel; een phisher zou de aanval bijvoorbeeld kunnen gebruiken door een html-bestand met de aanval mee te sturen.

Opvallend is dat niet alleen de inhoud van de adresbalk wordt aangepast, maar dat ook eventuele ssl-certificaten van de betreffende website worden getoond. Het veelgehoorde advies voor internetgebruikers om te controleren of het ssl-certificaat wel klopt, gaat in dit geval dus niet op: in de 'gekaapte' adresbalk wordt een kloppend ssl-certificaat getoond.

Tevens opvallend is dat Google tegenover de beveiligingsonderzoeker zou hebben aangegeven dat het beveiligingsprobleem niet ernstig is, omdat het 'om een denial of service' zou gaan. De beveiligingsonderzoeker weerspreekt dat: de browser crasht immers niet. Het is onduidelijk of de bug wel zal worden opgelost. Eerder dit jaar kampte Chrome op Android met een vergelijkbare bug; die is wel geplet.

ING met Chome-bug

Moderatie-faq Wijzig weergave

Reacties (74)

Wat ik mis in dit artikel is dat de gebruiker geen interactie heeft met de pagina.
Er kunnen dus alleen dingen worden weergegeven.
Dit maakt een soort gelijke aanval al veel minder interessant voor mensen die er misbruik van willen maken.

Bron:
http://seclists.org/fulldisclosure/2015/Jun/108
"Note:
No user interaction on the fake page."
Dat maakt het al veel minder gevaarlijk. Neemt niet weg dat iets wat op het eerste gezicht niet gevaarlijk is door een combinatie van bugs ineens wel gevaarlijk kan worden, zoals 4 onschuldige bugs gecombineerd voor een sandbox escape konden zorgen. (Was van PinkiePie als ik het me goed kan herinneren).

Gelukkig heeft Google zijn update mechanisme zeer goed op orde en zal dit heel snel worden gefixt in Chrome, neem ik aan.

[Reactie gewijzigd door Eloy op 2 juli 2015 16:37]

Ik ben benieuwd hoe snel het gefixt gaat worden als Google aan geeft dat het geen gevaar op levert. "Tevens opvallend is dat Google tegenover de beveiligingsonderzoeker zou hebben aangegeven dat het beveiligingsprobleem niet ernstig is, omdat het 'om een denial of service' zou gaan. "
Tja.

Storing: ING.nl is tijdelijk niet beschikbaar door storing. Voor noodzakelijke betalingen hebben wij voor de website Jouwing.nl waar u tijdelijk terecht kunt.

Excuses voor het ongemak.

Ik zet er wel een koud biertje op dat toch minstens de helft er in zal trappen.
en de helft van die erintrappen vraagt zich af "waarom is het niet mijnING.nl?"
Of "Dank u voor uw bezoek aan Dixons.nl. Wij zijn verheugd te melden dat wij zijn overgenomen door CoolBlue. Zo kunnen wij nu nog beter van dienst zijn. Als dank voor u jaren als trouwe klant, betaald u bij CoolBlue nu geen verzendkosten meer via actie code "Eind Baas". Tot ziens bij CoolBlue!"

[Reactie gewijzigd door djwice op 2 juli 2015 20:19]

Je kunt geen form invullen dus? Maar je kunt de site wel als front gebruiken voordat je mensen laat inloggen. Ik weet niet hoe mensen reageren als ze eerst zien dat de site beschikt over het juiste certificaat en later bij de login niet meer.
Ja maar als je er dan op klikt klopt de SSL certificaat al niet meer(HTTPS), of staat het er helemaal niet (HTTP)
Of dat mensen opvalt vraag ik me ook af, maar het is in ieder geval niet bruikbaar om een kopie van een betaalsite o.i.d. te maken, dat scheelt. Wat wel mogelijk is, is heel geloofwaardig inclusief kloppende certificaten melden dat iemands account is geblokkeerd en hem/haar doorverwijzen naar een andere site of telefoonnummer/e-mail. Aangezien die doorverwijzing komt van een site met kloppende certificaten, zouden mensen dat kunnen geloven.
Ik kan het enigszins wel reproduceren, maar de site is niet te gebruiken vanwege de vele timeouts & intervals en chrome loopt vast.

Ik vermoed dat er weinig mis is hier. Hij probeert keer op keer dezelfde pagina opnieuw te laden. Dan staat het adres al in de balk en is de SSL al geverifieerd. Kijk in Developer tools of in de broncode, en je ziet de resultaten van het "gespoofde" adres.

Het is eigenlijk hetzelfde als een nieuw adres in je balk intikken, enter drukken, en dat 200 keer per seconden. De pagina wordt nooit geheel ingeladen, de oude data staat nog op je scherm en er is niks aan de hand. Omdat er helemaal geen interactie is met de site die initieel wordt ingeladen kan er niks misgaan.

[Reactie gewijzigd door anargeek op 2 juli 2015 16:54]

Een stuk minder erg dan het artikel op Tweakers suggereert dus..
Toch snap ik niet waarom Google aangeeft dat ze het niet gaan oplossen?
Ik neem aan dat ze dat uiteindelijk toch wel doen, maar toch begrijp ik de eerste reactie van Google niet.
Blijkbaar komt Google ook pas in actie als een bug wordt gevonden bij een bekend event of er melding op wordt gemaakt op bekende websites, zoals nu Tweakers en anderen. Google zal straks vast komen met een mededeling dat zij wel een oplossing gaan vinden en dat het eerdere commentaar te vroeg is gegeven of een of andere smoes. Google, zogenaamd altijd bezig met het oplossen van beveiligingslekken, valt door de mand.
Die uitspraak van Google wordt nu 1:1 overgenomen van de beveiligingsonderzoeker. Het kan ook zo zijn dat Google heeft gereageerd dat dit lage prioriteit heeft omdat je er feitelijk niks kwaads mee kunt doen omdat er geen interactie mogelijk is met de nepsite. De bug stelt gewoon weinig voor, zeker niet zo ernstig als dit artikel suggereert.
Het lijkt er op alsof ze een popup zonder adresbalk tonen en de adresbalk in HTML na hebben gemaakt. Alsof het lijkt dat het gaat om een chrome adresbalk.
Dit is hier niet het geval, je kunt hier een voorbeeld zien: http://www.deusen.co.uk/items/gwhere.6128645971389012/#
Voor wat het waard is: dit zie ik in Ubuntu Linux terug in zowel Chrome als in Firefox (dan is het dus geen specifiek Chrome probleem).
Het is een uitspraak vanuit gevoel maar ik vind dat Chrome toch telkens vreemde security bugs heeft.

Een adresbalk zie ik als onderdeel van mijn applicatie waarover mijn applicatie volledig de controle heeft. Dat een andere partij - een website - hier (door mij oncontroleerbare) controle op kan uitoefenen vind ik persoonlijk een schadelijke zaak.

Het doet mij ook denken aan de Chrome-extensie die phining moest voorkomen. Deze is binnen een paar dagen alweer gekraakt.

Reden? Chrome stuurt middels Javascript iets naar de gebruiker en de webpagina onderschept dit bericht. Dus in plaats van dat de applicatie de leidende rol heeft kan ook hier weer de webpagina de leidende rol overnemen.

Wellicht dat het te maken heeft met hun onorthodoxe c.q. vernieuwende manier van software maken ("webtechniek is de toekomst" noem ik het maar) die er voor zorgen dat de grenzen tussen applicatie en appliecatiecontent vervangen. Ik vind het in ieder geval vrij opvallend.

[Reactie gewijzigd door Eagle Creek op 2 juli 2015 16:14]

Ja, daar vind ik het ook op lijken, maar dat zou je natuurlijk ook in andere browsers kunnen doen.
LOL @ plaatje :)

Anyway, slechte zaak dit natuurlijk. Maar Chrome is sowieso slecht (geworden). Het begon als een lightweight browser die IE keihard van zijn troon afstootte. Maar ondertussen zitten in Chrome dezelfde fouten als in IE destijds. Het is vooral een véél te zware browser geworden, die echt intern geheugen en processorkracht vreet.

Het grappige is dat de huidige IE browser super lightweight is geworden. Jammer alleen dat je merkt dat de ondersteuning van IE mager geworden is. Eigenlijk zoals bij Chrome in het begin. Wat dat betreft is het wel een grappig cirkeltje.
Chrome is absoluut niet slecht.
Het presteert nog steeds als één van de beste browsers, niet bij elke test de beste, maar dat is geen enkele browser. Safari is de nieuwe IE, niet Chrome.

http://arstechnica.com/in...he-new-internet-explorer/
Dat neemt niet weg dat het resources vreet. Ik heb nu Google Chrome open staan, met 5 tabbladen, en in Taakbeheer tel ik zo 17 processen. En nee, ik heb geen 11 plugins, ik gebruik alleen AdBlock Plus, Ghostery, LastPass en Unofficial Tweakers.net Notifier (:*)).
'The native Safari made the new Retina machine look good: 13 hours and 18 minutes. Google’s Chrome, on the other hand, forced the laptop to tap out at 9 hours and 45 minutes.'

Bron: http://www.theverge.com/2...rome-macbook-battery-life

Hoezeer ik Chrome ook een prettige browser vind, die features zijn me niet zo'n impact op m'n accu waard.
Het zouden er veertien moeten zijn als ik even logisch nadenk.
Al je tabbladen, je extensies, Adobe Flash, GPU proces en Chrome hoofdproces.
Raar :P

Dat Chrome resources vreet kan ik helaas niet ontkennen.. :(
Je noemt extentions, geen plugins. Misschien vergeet je die mee te tellen? Je kunt het zien middels Settings->Meer hulpprogramma's->Taakbeheer ;)
ABP vervangen voor uBlock. Scheelt weer wat ;)

Als ik in Chrome het aantal tabs open die ik in Fx altijd heb open staan, dan wordt het onbruikbaar. Schijnt dat het Chrome team daarmee bezig is om het gebruik flink omlaag te brengen.
sorry maar als een browser een fijne lichtgewicht, energie zuinige browser is dan is het safari wel, ik weet niet waar je dat fabeltje op baseert.

en dat artikel is biased(partijdig) als wat.!

Safari support alle belangrijke nieuwe API's, en implementeerd veel features vrij snel.
Het is niet helemaal biased. Er staan wel degelijk feiten in

1) Apple was afwezig
2) Ze hebben al lange tijd weinig interessante unieke features toegevoegd aan hun browsers
3) Doordat ze alleen met OS-updates de browser bijwerken, loopt deze regelmatig ver achter
4) Als Apple dingen toevoegt, zit daar vaak een vendor lock-in bij (de reden waarom sites lang alleen op iOS werkten)
5) Als Apple dingen toevoegt, zit daar vaak inconsistentie met andere browserfabrikanten bij, zoals het kapen van een tag waardoor deze niet meer overeen komt met wat volgens mij Firefox ermee deed (al jaren). Het brak de compatibility
6) Ze hebben al duidelijk meerdere malen dingen uitgehaald (of juist niet) waardoor hun app-store nog steeds de betere ervaring biedt. Enkele web-app bugs werden lang niet weggehaald of deden ze elke update weer dingen aanpassen waardoor je telkens weer hacks nodig had om navigatie weg te halen of de goede marges te gebruiken.

Dus nee, het is niet op simpelweg bias weg te zetten.

[Reactie gewijzigd door Martinspire op 2 juli 2015 19:05]

Hier is een interesant artikel over wat er mis is met safari (vooral iOS):

http://nolanlawson.com/2015/06/30/safari-is-the-new-ie/

edit: zie net dat het hetzelfde artikel is als die op arstechnica.

[Reactie gewijzigd door cornedor op 2 juli 2015 16:46]

Dat artikel is niet biased. Het gaat niet om fijn en lichtgewicht, het gaat erom dat Safari een hoop HTML/JS/CSS features niet ondersteunt, terwijl Firefox/Chrome/IE die wel supporten.
Dat soort test interesseren me weinig. Althans, ik vind mijn eigen ervaringen belangrijker ;) Chrome werkt gewoon super inefficiënt. Zelfs dermate dat mijn laptop er voelbaar warm van wordt en de fan moet draaien, terwijl die met IE keurig koel en stil blijft. Dat vind ik veel belangrijker dan dat Chrome wellicht ietsje sneller zou zijn.

En om het nog wat kracht bij te zetten; het bovenstaande openbaart zich al bij een paar tabbladen. En bij YouTube zelfs al met één tabblad. Dat terwijl ik in IE moeiteloos tig tabbladen open kan hebben staan, ook met video daarbij. Het verschil is echt héél groot.

Eigenlijk adviseer ik iedereen (met een laptop) om momenteel IE iig een kans te geven. Probeer het gewoon even, ik stond echt versteld van het verschil. Het werkt namelijk ook efficiënter dan Firefox.

[Reactie gewijzigd door Rossi46 op 2 juli 2015 16:31]

Eigenlijk adviseer ik iedereen (met een laptop) om momenteel IE iig een kans te geven. Probeer het gewoon even, ik stond echt versteld van het verschil. Het werkt namelijk ook efficiënter dan Firefox.
Firefox voelt naar mijn mening dan ook heel erg lomp aan. Vraag me niet waarom, maar dat gevoel krijg ik er bij.

Destijds ben ik van Firefox naar Chrome geswitched en misschien ga ik Edge wel inzetten na 29 juli.

Want inderdaad, Internet Explorer is niet zo slecht, maar Project Spartan/Edge in de Windows 10 Previews werkt nog fijner.
Ik wacht zelf bij Edge even totdat de grotere extentions zijn toegevoegd vanuit Chrome. Momenteel is ie nog erg spartaans (haha), maar met adblock en wat youtube modificaties moet het prima bruikbaar worden. Ik zal er niet verbaasd van staan te kijken als over een jaar Edge veel marktaandeel overneemt.
Ja ik snap niet wat Rick hier mee te maken heeft ??
Dat je denkt dat je naar een website gaat oid en dan voor het gekkie word gehouden is enigszins hetzelfde als Rickrolling.
Das lang geleden, die Rick roll.
Ik vind IE de meest light weight browser van het rijtje: Chrome, IE en Firefox. Toch gebruik ik voornamelijk Firefox of een variant daarvan door de vele goede add-ons.
Wow, niet ernstig? dat lijkt mij zeker wel een ernstige bug. Het gaat immers om de belofte dat de website veilig is, terwijl dat dus niet het geval hoeft te zijn.

[Reactie gewijzigd door maplebananas op 2 juli 2015 16:04]

Het scheelt dat het niet voorkomt in een normaal browservenster, maar alleen in popups. Maar toch inderdaad mag hier wel wat meer prioriteit aan.
Ach ja google neemt anderen graag onder vuur maar zelf nemen ze zaken schijnbaar ook niet altijd even serieus.
Tweakers mept de spijker wel op zijn kop met dat screenshotje. Je zou maar een popup krijgen met het adres van de ING met schijnbaar klopppend SSL certificaat en een phising pagina voorgeschoteld krijgen dat je moet inloggen omdat je anders je rekening kwijt raakt.

Na ál die jaren phishing moeten we toch wel weten dat er altijd mensen blijven die er in trappen en ernstige schade lopen door dat soort praktijken. Nou is phishing wel lastig te bestrijden maar dit is een bug die Google gewoon zelf met beide handen aan kan pakken en kan pletten. Blijkbaar moet hun browser eerst crashen om dit soort problemen prioriteit te geven, walgelijk |:(
Dat is inderdaad ook het eerste wat ik dacht: hoe makkelijk wordt het dan om phising-websites te maken? Hoezo is dit probleem niet ernstig?? Het lijkt me een zeer ernstig probleem dat zo snel mogelijk opgelost moet worden!
Lijkt bij mij niet te werken. Versie 44.0.2403.61 beta-m (64-bit).
Werkt bij mij ook niet op Chrome 43. De site loopt vast en Chrome geeft een foutmelding

[edit: zie mijn andere reactie. Spoilers: ik kan het wel reproduceren]

[Reactie gewijzigd door anargeek op 2 juli 2015 16:51]

Ik gebruik Chrome 43.0.2357.130 m en kan dit niet reproduceren. Welke versie heeft de redactie gebruikt?
"No user interaction on the fake page."

Dus voor phishing niet zo heel nuttig en links werken ook niet.
Het misbruiken hiervan zal meevallen, ik begrijp de houding van Google wel.
Eigenlijk ben je continue de pagina aan het refreshen naar bijv. ING, waardoor er geen interactie op je eigen pagina mogelijk is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True