Beveiligingsonderzoekers van Rapid7 hebben tien bugs in zeven mobiele browsers gevonden waarmee de url in een adresbalk kan worden gespoofd. De bug is gerepareerd in Safari, en er komen patches uit voor meerdere Opera-browsers.
Het lek werd ontdekt door Rapid7, dat samenwerkte met beveiligingsonderzoeker Rafay Baloch. In totaal ontdekten de onderzoekers tien kwetsbaarheden in mobiele browsers. Het gaat om Safari op iOS 13.6, en om Opera's Touch- en Mini-browsers voor iOS. Daarnaast zijn verschillende kleinere browsers getroffen, waaronder de Russische Yandex-browser, UC Browser, Bolt Browser en Rits Browser. Nog niet alle bugs zijn gerepareerd.
De exploit wordt ingezet tussen het moment dat een mobiele webpagina laadt en het moment dat de browser de adresbalk kan verversen. Een aanvaller kan op dat moment een pop-up of een andere website laten verschijnen, waarbij het lijkt alsof er een legitieme website wordt bezocht terwijl het gaat om een website met een andere url. De bug kan worden uitgebuit als slachtoffers op een phishingwebsite komen waar JavaScript op kan worden uitgevoerd. Een van de onderzoekers heeft een proof-of-concept uitgebracht in een paper.
Hoewel de kwetsbaarheid in verschillende browsers voorkomt, heeft niet iedere browsermaker het lek al gerepareerd. Alleen in Safari, Yandex en de Rits Browser zijn de kwetsbaarheden inmiddels opgelost. Opera zegt op 11 november met een fix te komen, en bij de Bolt Browser en de UC Browser kregen de onderzoekers helemaal geen contact met de makers.
CVE | Browser | Status |
CVE-2020-7363 | UC Browser 13.0.8 Android | Geen gehoor van maker |
CVE-2020-7364 | UC Browser 13.0.8 Android | Geen gehoor van maker |
Volgt nog | Opera Mini 51.0.2254 Android | Fix komt op 11 november |
Volgt nog | Opera Touch 2.4.4 iOS | Fix komt op 11 november |
Volgt nog | Opera Touch 2.4.4 iOS | Fix komt op 11 november |
Volgt nog | Opera Touch 2.4.4 iOS | Fix komt op 11 november |
CVE-2020-7369 | Yandex Browser 20.8 Android | Gerepareerd |
CVE-2020-7370 | Bolt Browser 1.4 iOS | Geen gehoor van maker |
CVE-2020-7371 | Rits Browser 3.3.9 Android | Gerepareerd |
CVE-2020-9987 | Safari op iOS 13.6 | Gerepareerd |