Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Malafide sites kunnen Firefox laten vastlopen via pop-upkwetsbaarheid

Firefox heeft een kwetsbaarheid waardoor malafide websites gebruikers kunnen bestoken met een niet-aflatende stroom authenticatiepop-ups. Sites maken hier misbruik van door gebruikers ertoe over te halen om te bellen met een helpdesk waarachter oplichters schuilgaan.

De kwetsbaarheid is oorsponkelijk drie maanden geleden gemeld bij Mozilla en tegen Ars Technica kon Mozilla ook niet direct zeggen wanneer een fix voor het probleem te verwachten is. Ars heeft ook een link naar een site die de kwetsbaarheid uitbuit. Volgens de onderzoeker die de kwetsbaarheid onder de aandacht van Ars bracht, heeft Firefox nog een soortgelijke kwetsbaarheid die twee jaar na de eerste melding nog niet weggewerkt is. Die lijkt echter momenteel niet actief uitgebuit te worden.

Behalve met authenticatiepop-ups worden gebruikers ook belaagd met downloaddialoogvensters en text-to-speech-output met de melding dat de computer gehackt is. Gebruikers worden gemaand om de 'helpdesk' te bellen. Wie het nummer belt, wordt hoogstwaarschijnlijk gevraagd om bankgegevens af te staan. Deze methode lijkt weinig kans van slagen te hebben bij technisch onderlegde gebruikers; niet bekend is op welke schaal de kwetsbaarheid misbruikt wordt.

Door Mark Hendrikman

Nieuwsposter

05-11-2019 • 16:24

48 Linkedin Google+

Reacties (48)

Wijzig sortering
Het bugreport is afgesloten omdat dit een duplicaat is van een ander bugreport, waarnaar verwezen wordt.
Het is dus niet vreemd dat dit ticket afgesloten is.

Het ticket waarnaar verwezen wordt, wordt actief behandeld door een developer dus het is niet zo dat mozilla dit naast zich neer legt.
hij is niet opgelost.. hij is gesloten omdat het om een duplicate gaat van een bug die 3 maanden geleden al is aangemeld. En die staat nog open.
Ik ben erg verbaasd dat dit als 'nieuws' wordt gezien, en al helemaal dat dit een 'kwetsbaarheid' genoemd wordt. Er zijn tal manieren om methodes om moderne browsers vast te laten lopen, maar verder doet dat niet zoveel.

En ondertussen verspreiden we een phishing campagne.

In plaats van dit zie ik graag beveiligings problemen die daadwerkelijk te misbruiken zijn.

[Reactie gewijzigd door timvisee op 5 november 2019 16:33]

Cybersecurity wordt over het algemeen verdeeld in 3 onderdelen, de "CIA": vertrouwlijkheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability). Hoewel vertrouwlijkheid en integriteit met dit probleem niet verstoord worden, wordt de beschikbaarheid van de browser wel beïnvloed. Om deze reden is bij alle browsers ook de alert() popup aangepast zodat je die niet in een lus kan aanroepen (of in ieder geval de melding kan verbergen voor de rest van je bezoek aan de pagina).

Als je een moderne browser tegenwoordig laat vastlopen, crasht er een tab of misschien zelfs een groep tabs. In dit geval wordt de hele browser onbruikbaar: daar zit een wezenlijk verschil tussen. Dingen die een browser laten vastlopen zijn overigens sowieso belangrijke bugs.

Een onsluitbare melding is iets dat daadwerkelijk de betrouwbaarheid van de browser kan beïnvloeden en vanwege het gebruik op scam-pagina's zou ik dit zelf ook zien als beveiliginsissue. Sowieso is de UI voor basic/proxy authenticatie in Firefox sterk achterhaald en dit toont maar weer aan wat voor impact zoiets kan hebben.
In plaats van dit zie ik graag beveiligings problemen die daadwerkelijk te misbruiken zijn.
Uit het artikel: "Sites maken hier misbruik van door gebruikers ertoe over te halen om te bellen met een helpdesk waarachter oplichters schuilgaan."
"Er zijn tal manieren om methodes om moderne browsers vast te laten lopen"

Oh ja, vertel? Graag een lijstje.
Task Manager, Firefox taak beëindigen.

Of je kan het nummer bellen en John, Tim, Jake, of wie dan ook even bezig houden.
esc
ctrl-W
vlug na elkaar.
bij de escape ontsnap je even aan de controle van de pop-up en de control-W geeft je controle terug door de actieve tab af te sluiten.
iets minder drastisch dan een task-man-kill.
De ctrl-w kan taal afhankelijk zijn.
Denk dat de meesten hier zo'n oplossing wel kunnen bedenken. Ook een stukje veiliger/robuuster dan via de task manager FF afsluiten aangezien je iets van sessie herstellen aan kan hebben staan..
Of je kan het nummer bellen en John, Tim, Jake, of wie dan ook even bezig houden.
Als de baas van John lief genoeg zou zijn om een gratis nummer te hebben: prima idee. Als ie echter zo'n leuk nummer heeft waarvoor je een paar dollar per minuut mag lappen (plus de gewone internationale belminuten), dan is het juist John zijn baan om jou zo lang mogelijk aan de lijn te houden... Als je allebei probeert het gesprek zo lang mogelijk te rekken, dan kan het een erg lang (en ontzettend duur!) verhaal worden.
Idd geef ze lekker een vm en laat ze maar een paar uurtjes hobbien weet je meteen hoe ze te werk gaan.
Dit was toch al lang mogelijk? Zolang het geen expliciet script was die door de browser herkent werd als loop (en dus automatisch stopte), kon je nonstop popups laten geven bij alles wat je zo'n beetje deed.
Dit was toch al lang mogelijk? Zolang het geen expliciet script was die door de browser herkent werd als loop (en dus automatisch stopte), kon je nonstop popups laten geven bij alles wat je zo'n beetje deed.
En die zouden allemaal geblokkeerd worden door de ingebouwde popup-blocker als ze via code geopend worden die niet 'gestart' is vanuit een gebruikers-interactie zoals een click of touchstart event.

Ingebouwde prompt dialogs zoals window.alert of window.confirm werken daarnaast al tijden asynchroon en zijn 'tab-modal', waardoor ze het content-process van de tab blokkeren, maar niet de UI van de tab zelf, en je deze gewoon kunt sluiten.

HTTP Basic authentication dialoogvensters hebben ongelukkig genoeg deze wijziging gemist. En juist dat is Mozilla op het moment aan het rectificeren.

[Reactie gewijzigd door R4gnax op 5 november 2019 19:27]

Er is een reden waarom ik een popup blocker plugin heb geinstalleerd in firefox. Standaard zuigt het namelijk. Veel slechter dan chrome, waarvan ik ben overgestapt naar firefox. De popupblokker was een van de eerste dingen die ik geinstalleerd heb als plugin in firefox.
Ook in de op het moment van schrijven meest recente beta is deze bug nog aanwezig (71.0b6).

Wat wel werkt is het venster wegklikken en direct op ctrl+w drukken om het tabblad te sluiten, dan hoef je niet naar task manager.
Dat lukt dus niet want alleen de popup krijgt focus. Je kunt niet meer bij je tabs of het "rode kruis".
Taalbeheer biedt redding.
Dit gebeurt al jaren op sites waarnaar doorverwezen wordt als je iets van een vaag downloadplatform wilt hebben, of een illegale russische sportstream wilt kijken. ;)
CTRL-F4 sluit direct de applicatie af, ctrl-w ook.
Daarom zeg keranoz ook ctrl + w. En dat werkt prima om het betreffende tabblad met irritante pop-up te sluiten. Druk op Cancel of Annuleren in de pop-up en direct ctrl + w, tadaa.. tabblad dicht.
Dat werkte bij mij allemaal echt niet! :/
Kan niet geloven dat ik zo lang al op internet ben zonder ctrl+w te kennen

Thanks
Ctrl-F4 doet hetzelfde, sluit applicatie af. ;)
Er zijn zelfs nog genoeg mensen die niet weten dat je met een middel mouse click (scrollwiel) iets in een nieuw tab kan openen of een tab kan sluiten.
CTRL-click werkt ook, maar ik gebruik eigenlijk zo goed als altijd het context menu. Ook om dat ik dan kan bepalen of iets in een container tab geopend moet worden of niet.
Off topic. Maar het zou tijd worden dat ze deze pop-up net als de alert onderdeel maken van de pagina. Nu locked de hele browser wat nogal lastig is. Dan is denk ik het genoemde probleem ook verholpen.
Off topic. Maar het zou tijd worden dat ze deze pop-up net als de alert onderdeel maken van de pagina. Nu locked de hele browser wat nogal lastig is. Dan is denk ik het genoemde probleem ook verholpen.
Dat is dus ook precies wat ze nu aan het doen zijn. :)

Bug wordt getracked voor FF 70.0.2 voor zover ik kon zien, dus ik neem aan dat als er geen zwaarwegende blockers zullen zijn, de fix ook daarnaartoe ge-uplift zal worden en we er op het stable release kanaal dus ook snel over kunnen beschikken.

[Reactie gewijzigd door R4gnax op 5 november 2019 22:36]

Ik heb dit gedrag ook wel eens gezien in Edge
Meestal was het voldoende om de temp intermet files te legen.
De enigste browser die je echt pop-up vrij kan maken is Chrome, mbv 3-4 popupblockers ben je op elke site af van die rotzooi ...
Op zich is deze hele issue en wat in dit artikel beschreven wordt niet nieuw.
Er stonden al issues hierover open in 2010. Voordat de alert() tab-modal was (en dus de browser niet meer vast kon zetten) liep ik zelf perongeluk bij ontwikkeling er wel eens tegenaan dat een test alert() mijn browser vastzette. Toen kwam ik ook al tot de conclusie dat HTTP auth popup dit ook konden doen.

In de bugzilla.mozilla.org issue over alert() tab-modal werd in november 2010 al opgemerkt:
2) The only prompts this affects are the window.alert() / .confirm() / .prompt() calls triggered by pages. Things like HTTP Authentication, onbeforeunload messages, quit dialogs, etc are unchanged (ie, window-modal prompts). We'll look at fixing those later, probably after Firefox 4 to minimize risk.
Zie hier de comment
https://bugzilla.mozilla.org/show_bug.cgi?id=59314#c158

En in 2010 is de issue aangemaakt om ook de HTTP authentication dialog tab-modal te maken:
https://bugzilla.mozilla.org/show_bug.cgi?id=613785 (Switch to using tab-modal prompt dialogs for HTTP authentication)

[Reactie gewijzigd door spellcoder op 6 november 2019 11:22]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True