Malafide website kan adresbalk spoofen in Chrome

Door een probleem in de desktopversie van Chrome kunnen kwaadwillenden de tekst in de adresbalk aanpassen. Daardoor kan een website zich voordoen als een andere website. Daarbij lijkt ook het eventuele ssl-certificaat te kloppen.

Beveiligingsonderzoeker David Leo publiceerde informatie over het beveiligingsprobleem en een werkende proof of concept op de Full Disclosure-mailinglijst. Met behulp van javascript kan een document de inhoud van de adresbalk aanpassen. Tweakers heeft kunnen verifiëren dat het beveiligingsprobleem aanwezig is in de desktopversie van Chrome; de mobiele versie lijkt niet kwetsbaar te zijn. Ook andere browsers zijn niet kwetsbaar.

In de proof of concept gaat het om een pop-up waarvan de adresbalk wordt aangepast; het is niet duidelijk of de aanval ook werkt bij een regulier browservenster. Een andere beperking is dat de aanval afhankelijk is van time-outs; is de verbinding met een server te traag, dan kan de aanval niet snel genoeg plaatsvinden en werkt hij niet. Als lokaal bestand werkt de aanval in ieder geval wel; een phisher zou de aanval bijvoorbeeld kunnen gebruiken door een html-bestand met de aanval mee te sturen.

Opvallend is dat niet alleen de inhoud van de adresbalk wordt aangepast, maar dat ook eventuele ssl-certificaten van de betreffende website worden getoond. Het veelgehoorde advies voor internetgebruikers om te controleren of het ssl-certificaat wel klopt, gaat in dit geval dus niet op: in de 'gekaapte' adresbalk wordt een kloppend ssl-certificaat getoond.

Tevens opvallend is dat Google tegenover de beveiligingsonderzoeker zou hebben aangegeven dat het beveiligingsprobleem niet ernstig is, omdat het 'om een denial of service' zou gaan. De beveiligingsonderzoeker weerspreekt dat: de browser crasht immers niet. Het is onduidelijk of de bug wel zal worden opgelost. Eerder dit jaar kampte Chrome op Android met een vergelijkbare bug; die is wel geplet.

Door Joost Schellevis

Redacteur

Feedback • 02-07-2015 16:0074

02-07-2015 • 16:00

74 Linkedin

Lees meer

Google presenteert amp html voor snellere en lichtere mobiele webpagina's Nieuws van 7 oktober 2015
Incognito-modus op Chrome voor Android laat sporen na Nieuws van 22 september 2015
Exploit voor gevaarlijk Android-lek komt volgende week - update 2 Nieuws van 28 juli 2015
Lek in video-engine Android maakt apparaten kraken makkelijk - update Nieuws van 27 juli 2015
Ernstige ssl-bug is gepatcht en richt weinig schade aan Nieuws van 9 juli 2015
Telfort wil klanten die drm omzeilen de mond snoeren Nieuws van 21 augustus 2014
'Lijst van ddos- en spoofingtools van Britse spionagedienst verschijnt online' Nieuws van 15 juli 2014
Wordpress-installaties misbruikt bij grote ddos-aanval Nieuws van 12 maart 2014
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (74)

-Moderatie-faq
74
72
34
2
1
0
Wijzig sortering
YorrickNL
2 juli 2015 16:08
Wat ik mis in dit artikel is dat de gebruiker geen interactie heeft met de pagina.
Er kunnen dus alleen dingen worden weergegeven.
Dit maakt een soort gelijke aanval al veel minder interessant voor mensen die er misbruik van willen maken.

Bron:
http://seclists.org/fulldisclosure/2015/Jun/108
"Note:
No user interaction on the fake page."
Eloy
@YorrickNL2 juli 2015 16:30
Dat maakt het al veel minder gevaarlijk. Neemt niet weg dat iets wat op het eerste gezicht niet gevaarlijk is door een combinatie van bugs ineens wel gevaarlijk kan worden, zoals 4 onschuldige bugs gecombineerd voor een sandbox escape konden zorgen. (Was van PinkiePie als ik het me goed kan herinneren).

Gelukkig heeft Google zijn update mechanisme zeer goed op orde en zal dit heel snel worden gefixt in Chrome, neem ik aan.

[Reactie gewijzigd door Eloy op 2 juli 2015 16:37]

Paffelton
@Eloy3 juli 2015 09:18
Ik ben benieuwd hoe snel het gefixt gaat worden als Google aan geeft dat het geen gevaar op levert. "Tevens opvallend is dat Google tegenover de beveiligingsonderzoeker zou hebben aangegeven dat het beveiligingsprobleem niet ernstig is, omdat het 'om een denial of service' zou gaan. "
Rob_03
@YorrickNL2 juli 2015 17:34
Tja.

Storing: ING.nl is tijdelijk niet beschikbaar door storing. Voor noodzakelijke betalingen hebben wij voor de website Jouwing.nl waar u tijdelijk terecht kunt.

Excuses voor het ongemak.

Ik zet er wel een koud biertje op dat toch minstens de helft er in zal trappen.
SirJMO
@Rob_033 juli 2015 08:54
en de helft van die erintrappen vraagt zich af "waarom is het niet mijnING.nl?"
djwice
@Rob_032 juli 2015 20:19
Of "Dank u voor uw bezoek aan Dixons.nl. Wij zijn verheugd te melden dat wij zijn overgenomen door CoolBlue. Zo kunnen wij nu nog beter van dienst zijn. Als dank voor u jaren als trouwe klant, betaald u bij CoolBlue nu geen verzendkosten meer via actie code "Eind Baas". Tot ziens bij CoolBlue!"

[Reactie gewijzigd door djwice op 2 juli 2015 20:19]

Anoniem: 16328
@YorrickNL2 juli 2015 17:18
Je kunt geen form invullen dus? Maar je kunt de site wel als front gebruiken voordat je mensen laat inloggen. Ik weet niet hoe mensen reageren als ze eerst zien dat de site beschikt over het juiste certificaat en later bij de login niet meer.
MrFax
@Anoniem: 163282 juli 2015 23:22
Ja maar als je er dan op klikt klopt de SSL certificaat al niet meer(HTTPS), of staat het er helemaal niet (HTTP)
Grrrrrene
@MrFax3 juli 2015 07:57
Of dat mensen opvalt vraag ik me ook af, maar het is in ieder geval niet bruikbaar om een kopie van een betaalsite o.i.d. te maken, dat scheelt. Wat wel mogelijk is, is heel geloofwaardig inclusief kloppende certificaten melden dat iemands account is geblokkeerd en hem/haar doorverwijzen naar een andere site of telefoonnummer/e-mail. Aangezien die doorverwijzing komt van een site met kloppende certificaten, zouden mensen dat kunnen geloven.
anargeek
2 juli 2015 16:49
Ik kan het enigszins wel reproduceren, maar de site is niet te gebruiken vanwege de vele timeouts & intervals en chrome loopt vast.

Ik vermoed dat er weinig mis is hier. Hij probeert keer op keer dezelfde pagina opnieuw te laden. Dan staat het adres al in de balk en is de SSL al geverifieerd. Kijk in Developer tools of in de broncode, en je ziet de resultaten van het "gespoofde" adres.

Het is eigenlijk hetzelfde als een nieuw adres in je balk intikken, enter drukken, en dat 200 keer per seconden. De pagina wordt nooit geheel ingeladen, de oude data staat nog op je scherm en er is niks aan de hand. Omdat er helemaal geen interactie is met de site die initieel wordt ingeladen kan er niks misgaan.

[Reactie gewijzigd door anargeek op 2 juli 2015 16:54]

calvinturbo
@anargeek2 juli 2015 16:55
Een stuk minder erg dan het artikel op Tweakers suggereert dus..
Toch snap ik niet waarom Google aangeeft dat ze het niet gaan oplossen?
Ik neem aan dat ze dat uiteindelijk toch wel doen, maar toch begrijp ik de eerste reactie van Google niet.
Anoniem: 16328
@calvinturbo2 juli 2015 17:14
Blijkbaar komt Google ook pas in actie als een bug wordt gevonden bij een bekend event of er melding op wordt gemaakt op bekende websites, zoals nu Tweakers en anderen. Google zal straks vast komen met een mededeling dat zij wel een oplossing gaan vinden en dat het eerdere commentaar te vroeg is gegeven of een of andere smoes. Google, zogenaamd altijd bezig met het oplossen van beveiligingslekken, valt door de mand.
Grrrrrene
@Anoniem: 163283 juli 2015 08:00
Die uitspraak van Google wordt nu 1:1 overgenomen van de beveiligingsonderzoeker. Het kan ook zo zijn dat Google heeft gereageerd dat dit lage prioriteit heeft omdat je er feitelijk niks kwaads mee kunt doen omdat er geen interactie mogelijk is met de nepsite. De bug stelt gewoon weinig voor, zeker niet zo ernstig als dit artikel suggereert.
Gertjuhjan
2 juli 2015 16:05
Het lijkt er op alsof ze een popup zonder adresbalk tonen en de adresbalk in HTML na hebben gemaakt. Alsof het lijkt dat het gaat om een chrome adresbalk.
cornedor
@Gertjuhjan2 juli 2015 16:41
Dit is hier niet het geval, je kunt hier een voorbeeld zien: http://www.deusen.co.uk/items/gwhere.6128645971389012/#
jlaarts
@cornedor3 juli 2015 02:27
Voor wat het waard is: dit zie ik in Ubuntu Linux terug in zowel Chrome als in Firefox (dan is het dus geen specifiek Chrome probleem).
Eagle Creek
@Gertjuhjan2 juli 2015 16:08
Het is een uitspraak vanuit gevoel maar ik vind dat Chrome toch telkens vreemde security bugs heeft.

Een adresbalk zie ik als onderdeel van mijn applicatie waarover mijn applicatie volledig de controle heeft. Dat een andere partij - een website - hier (door mij oncontroleerbare) controle op kan uitoefenen vind ik persoonlijk een schadelijke zaak.

Het doet mij ook denken aan de Chrome-extensie die phining moest voorkomen. Deze is binnen een paar dagen alweer gekraakt.

Reden? Chrome stuurt middels Javascript iets naar de gebruiker en de webpagina onderschept dit bericht. Dus in plaats van dat de applicatie de leidende rol heeft kan ook hier weer de webpagina de leidende rol overnemen.

Wellicht dat het te maken heeft met hun onorthodoxe c.q. vernieuwende manier van software maken ("webtechniek is de toekomst" noem ik het maar) die er voor zorgen dat de grenzen tussen applicatie en appliecatiecontent vervangen. Ik vind het in ieder geval vrij opvallend.

[Reactie gewijzigd door Eagle Creek op 2 juli 2015 16:14]

ZpAz
@Gertjuhjan2 juli 2015 16:20
Ja, daar vind ik het ook op lijken, maar dat zou je natuurlijk ook in andere browsers kunnen doen.
Rossi46
2 juli 2015 16:04
LOL @ plaatje :)

Anyway, slechte zaak dit natuurlijk. Maar Chrome is sowieso slecht (geworden). Het begon als een lightweight browser die IE keihard van zijn troon afstootte. Maar ondertussen zitten in Chrome dezelfde fouten als in IE destijds. Het is vooral een véél te zware browser geworden, die echt intern geheugen en processorkracht vreet.

Het grappige is dat de huidige IE browser super lightweight is geworden. Jammer alleen dat je merkt dat de ondersteuning van IE mager geworden is. Eigenlijk zoals bij Chrome in het begin. Wat dat betreft is het wel een grappig cirkeltje.
calvinturbo
@Rossi462 juli 2015 16:13
Chrome is absoluut niet slecht.
Het presteert nog steeds als één van de beste browsers, niet bij elke test de beste, maar dat is geen enkele browser. Safari is de nieuwe IE, niet Chrome.

http://arstechnica.com/in...he-new-internet-explorer/
Pwuts
@calvinturbo2 juli 2015 16:23
Dat neemt niet weg dat het resources vreet. Ik heb nu Google Chrome open staan, met 5 tabbladen, en in Taakbeheer tel ik zo 17 processen. En nee, ik heb geen 11 plugins, ik gebruik alleen AdBlock Plus, Ghostery, LastPass en Unofficial Tweakers.net Notifier (:*)).
Zegato
@Pwuts2 juli 2015 16:38
'The native Safari made the new Retina machine look good: 13 hours and 18 minutes. Google’s Chrome, on the other hand, forced the laptop to tap out at 9 hours and 45 minutes.'

Bron: http://www.theverge.com/2...rome-macbook-battery-life

Hoezeer ik Chrome ook een prettige browser vind, die features zijn me niet zo'n impact op m'n accu waard.
calvinturbo
@Pwuts2 juli 2015 16:52
Het zouden er veertien moeten zijn als ik even logisch nadenk.
Al je tabbladen, je extensies, Adobe Flash, GPU proces en Chrome hoofdproces.
Raar :P

Dat Chrome resources vreet kan ik helaas niet ontkennen.. :(
Martinspire
@Pwuts2 juli 2015 18:56
Je noemt extentions, geen plugins. Misschien vergeet je die mee te tellen? Je kunt het zien middels Settings->Meer hulpprogramma's->Taakbeheer ;)
desalniettemin
@Pwuts2 juli 2015 19:57
ABP vervangen voor uBlock. Scheelt weer wat ;)

Als ik in Chrome het aantal tabs open die ik in Fx altijd heb open staan, dan wordt het onbruikbaar. Schijnt dat het Chrome team daarmee bezig is om het gebruik flink omlaag te brengen.
Zezura
@calvinturbo2 juli 2015 16:29
sorry maar als een browser een fijne lichtgewicht, energie zuinige browser is dan is het safari wel, ik weet niet waar je dat fabeltje op baseert.

en dat artikel is biased(partijdig) als wat.!

Safari support alle belangrijke nieuwe API's, en implementeerd veel features vrij snel.
Martinspire
@Zezura2 juli 2015 19:04
Het is niet helemaal biased. Er staan wel degelijk feiten in

1) Apple was afwezig
2) Ze hebben al lange tijd weinig interessante unieke features toegevoegd aan hun browsers
3) Doordat ze alleen met OS-updates de browser bijwerken, loopt deze regelmatig ver achter
4) Als Apple dingen toevoegt, zit daar vaak een vendor lock-in bij (de reden waarom sites lang alleen op iOS werkten)
5) Als Apple dingen toevoegt, zit daar vaak inconsistentie met andere browserfabrikanten bij, zoals het kapen van een tag waardoor deze niet meer overeen komt met wat volgens mij Firefox ermee deed (al jaren). Het brak de compatibility
6) Ze hebben al duidelijk meerdere malen dingen uitgehaald (of juist niet) waardoor hun app-store nog steeds de betere ervaring biedt. Enkele web-app bugs werden lang niet weggehaald of deden ze elke update weer dingen aanpassen waardoor je telkens weer hacks nodig had om navigatie weg te halen of de goede marges te gebruiken.

Dus nee, het is niet op simpelweg bias weg te zetten.

[Reactie gewijzigd door Martinspire op 2 juli 2015 19:05]

cornedor
@Zezura2 juli 2015 16:45
Hier is een interesant artikel over wat er mis is met safari (vooral iOS):

http://nolanlawson.com/2015/06/30/safari-is-the-new-ie/

edit: zie net dat het hetzelfde artikel is als die op arstechnica.

[Reactie gewijzigd door cornedor op 2 juli 2015 16:46]

calvinturbo
@Zezura2 juli 2015 16:50
Dat artikel is niet biased. Het gaat niet om fijn en lichtgewicht, het gaat erom dat Safari een hoop HTML/JS/CSS features niet ondersteunt, terwijl Firefox/Chrome/IE die wel supporten.
Rossi46
@calvinturbo2 juli 2015 16:29
Dat soort test interesseren me weinig. Althans, ik vind mijn eigen ervaringen belangrijker ;) Chrome werkt gewoon super inefficiënt. Zelfs dermate dat mijn laptop er voelbaar warm van wordt en de fan moet draaien, terwijl die met IE keurig koel en stil blijft. Dat vind ik veel belangrijker dan dat Chrome wellicht ietsje sneller zou zijn.

En om het nog wat kracht bij te zetten; het bovenstaande openbaart zich al bij een paar tabbladen. En bij YouTube zelfs al met één tabblad. Dat terwijl ik in IE moeiteloos tig tabbladen open kan hebben staan, ook met video daarbij. Het verschil is echt héél groot.

Eigenlijk adviseer ik iedereen (met een laptop) om momenteel IE iig een kans te geven. Probeer het gewoon even, ik stond echt versteld van het verschil. Het werkt namelijk ook efficiënter dan Firefox.

[Reactie gewijzigd door Rossi46 op 2 juli 2015 16:31]

Tralapo
@Rossi462 juli 2015 17:48
Eigenlijk adviseer ik iedereen (met een laptop) om momenteel IE iig een kans te geven. Probeer het gewoon even, ik stond echt versteld van het verschil. Het werkt namelijk ook efficiënter dan Firefox.
Firefox voelt naar mijn mening dan ook heel erg lomp aan. Vraag me niet waarom, maar dat gevoel krijg ik er bij.

Destijds ben ik van Firefox naar Chrome geswitched en misschien ga ik Edge wel inzetten na 29 juli.

Want inderdaad, Internet Explorer is niet zo slecht, maar Project Spartan/Edge in de Windows 10 Previews werkt nog fijner.
Martinspire
@Tralapo2 juli 2015 18:58
Ik wacht zelf bij Edge even totdat de grotere extentions zijn toegevoegd vanuit Chrome. Momenteel is ie nog erg spartaans (haha), maar met adblock en wat youtube modificaties moet het prima bruikbaar worden. Ik zal er niet verbaasd van staan te kijken als over een jaar Edge veel marktaandeel overneemt.
Clickalot
@Rossi462 juli 2015 16:09
Ja ik snap niet wat Rick hier mee te maken heeft ??
vlaaing peerd
@Clickalot2 juli 2015 16:13
Dat je denkt dat je naar een website gaat oid en dan voor het gekkie word gehouden is enigszins hetzelfde als Rickrolling.
irritantrotjoch
@vlaaing peerd2 juli 2015 23:11
Das lang geleden, die Rick roll.
Anoniem: 16328
@Rossi462 juli 2015 17:15
Ik vind IE de meest light weight browser van het rijtje: Chrome, IE en Firefox. Toch gebruik ik voornamelijk Firefox of een variant daarvan door de vele goede add-ons.
maplebananas
2 juli 2015 16:03
Wow, niet ernstig? dat lijkt mij zeker wel een ernstige bug. Het gaat immers om de belofte dat de website veilig is, terwijl dat dus niet het geval hoeft te zijn.

[Reactie gewijzigd door maplebananas op 2 juli 2015 16:04]

Martinspire
@maplebananas2 juli 2015 18:55
Het scheelt dat het niet voorkomt in een normaal browservenster, maar alleen in popups. Maar toch inderdaad mag hier wel wat meer prioriteit aan.
bbob
@maplebananas2 juli 2015 16:13
Ach ja google neemt anderen graag onder vuur maar zelf nemen ze zaken schijnbaar ook niet altijd even serieus.
Ventieldopje
2 juli 2015 16:08
Tweakers mept de spijker wel op zijn kop met dat screenshotje. Je zou maar een popup krijgen met het adres van de ING met schijnbaar klopppend SSL certificaat en een phising pagina voorgeschoteld krijgen dat je moet inloggen omdat je anders je rekening kwijt raakt.

Na ál die jaren phishing moeten we toch wel weten dat er altijd mensen blijven die er in trappen en ernstige schade lopen door dat soort praktijken. Nou is phishing wel lastig te bestrijden maar dit is een bug die Google gewoon zelf met beide handen aan kan pakken en kan pletten. Blijkbaar moet hun browser eerst crashen om dit soort problemen prioriteit te geven, walgelijk |:(
Luuk1983
@Ventieldopje2 juli 2015 16:11
Dat is inderdaad ook het eerste wat ik dacht: hoe makkelijk wordt het dan om phising-websites te maken? Hoezo is dit probleem niet ernstig?? Het lijkt me een zeer ernstig probleem dat zo snel mogelijk opgelost moet worden!
Flitskikker
2 juli 2015 16:20
Lijkt bij mij niet te werken. Versie 44.0.2403.61 beta-m (64-bit).
anargeek
@Flitskikker2 juli 2015 16:41
Werkt bij mij ook niet op Chrome 43. De site loopt vast en Chrome geeft een foutmelding

[edit: zie mijn andere reactie. Spoilers: ik kan het wel reproduceren]

[Reactie gewijzigd door anargeek op 2 juli 2015 16:51]

GrooV
2 juli 2015 16:05
Ik gebruik Chrome 43.0.2357.130 m en kan dit niet reproduceren. Welke versie heeft de redactie gebruikt?
bassekeNL
2 juli 2015 16:08
"No user interaction on the fake page."

Dus voor phishing niet zo heel nuttig en links werken ook niet.
Oeroeg
2 juli 2015 16:09
Het misbruiken hiervan zal meevallen, ik begrijp de houding van Google wel.
Eigenlijk ben je continue de pagina aan het refreshen naar bijv. ING, waardoor er geen interactie op je eigen pagina mogelijk is.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee