Apple en Opera repareren spoofingkwetsbaarheid in adresbalk van mobiele browsers

Beveiligingsonderzoekers van Rapid7 hebben tien bugs in zeven mobiele browsers gevonden waarmee de url in een adresbalk kan worden gespoofd. De bug is gerepareerd in Safari, en er komen patches uit voor meerdere Opera-browsers.

Opera Mini spoofedHet lek werd ontdekt door Rapid7, dat samenwerkte met beveiligingsonderzoeker Rafay Baloch. In totaal ontdekten de onderzoekers tien kwetsbaarheden in mobiele browsers. Het gaat om Safari op iOS 13.6, en om Opera's Touch- en Mini-browsers voor iOS. Daarnaast zijn verschillende kleinere browsers getroffen, waaronder de Russische Yandex-browser, UC Browser, Bolt Browser en Rits Browser. Nog niet alle bugs zijn gerepareerd.

De exploit wordt ingezet tussen het moment dat een mobiele webpagina laadt en het moment dat de browser de adresbalk kan verversen. Een aanvaller kan op dat moment een pop-up of een andere website laten verschijnen, waarbij het lijkt alsof er een legitieme website wordt bezocht terwijl het gaat om een website met een andere url. De bug kan worden uitgebuit als slachtoffers op een phishingwebsite komen waar JavaScript op kan worden uitgevoerd. Een van de onderzoekers heeft een proof-of-concept uitgebracht in een paper.

Hoewel de kwetsbaarheid in verschillende browsers voorkomt, heeft niet iedere browsermaker het lek al gerepareerd. Alleen in Safari, Yandex en de Rits Browser zijn de kwetsbaarheden inmiddels opgelost. Opera zegt op 11 november met een fix te komen, en bij de Bolt Browser en de UC Browser kregen de onderzoekers helemaal geen contact met de makers.

CVE Browser Status
CVE-2020-7363 UC Browser 13.0.8 Android Geen gehoor van maker
CVE-2020-7364 UC Browser 13.0.8 Android Geen gehoor van maker
Volgt nog Opera Mini 51.0.2254 Android Fix komt op 11 november
Volgt nog Opera Touch 2.4.4 iOS Fix komt op 11 november
Volgt nog Opera Touch 2.4.4 iOS Fix komt op 11 november
Volgt nog Opera Touch 2.4.4 iOS Fix komt op 11 november
CVE-2020-7369 Yandex Browser 20.8 Android Gerepareerd
CVE-2020-7370 Bolt Browser 1.4 iOS Geen gehoor van maker
CVE-2020-7371 Rits Browser 3.3.9 Android Gerepareerd
CVE-2020-9987 Safari op iOS 13.6 Gerepareerd

Door Tijs Hofmans

Nieuwscoördinator

20-10-2020 • 16:45

13

Reacties (13)

13
13
7
0
0
3
Wijzig sortering
Sowieso hebben de meeste mobiele browsers een groot probleem omdat ze automatisch de URL bar weghalen op het moment dat je naar beneden scrollt. Een kwaadwillende site kan een URL bar dan eenvoudig na maken. Helaas biedt bijna geen enkele mobiele browser meer een optie om deze permanent in beeld te zetten :(
iOS laat op iOS 14 keurig het adres zien bovenaan, ook tijdens scrollen.
Safari laat toch alleen het domein zien?
Klopt, maar dat is principe toch ook voldoende? Spoofing vindt normaal gesproken niet plaats op hetzelfde domein.
Het viel sinds de laatste Safari versie al op dat je soms oude urls in de locatiebalk ziet terwijl een compleet andere site aan het laden was. Verbaast me niets dat na goed onderzoek er dan een spoofing kwetsbaarheid gevonden kon worden. Goed werk daar!
Ik snap niet dat mensen bij belangrijke websites inloggegevens niet in de sleutelhanger bewaren. Deze werkt immers alleen bij de juiste website. Als je dan bij de website niet automatisch de juiste inloggegevens krijgt moet er toch een lampje gaan branden ...
Ik heb net even de UC browser opgezocht en dat wil je sowieso niet op je telefoon hebben: https://en.wikipedia.org/wiki/UC_Browser

Zo lek als een mandje, sinds 2015 al. De laatste update is ook van februari 2020, dus dat zegt al genoeg.
Hmm, ik zou wikipedia niet als bron voor zulke informatie aannemen. Zeker als het net zo makkelijk op te zoeken is in een betrouwbaardere bron, namelijk de play store: https://play.google.com/s...UCMobile.intl&hl=en&gl=us

Laatste update was gisteren, dus ja de browser kan nog steeds issues hebben, maar de laatste update is niet van februari.

Ook 'sinds 2015 al' vind ik wat kort door de bocht. De meeste reports zijn uit 2015, dat wil niet zeggen dat het nog steeds dezelfde app is als toen. Apps veranderen in 5 jaar ook vrij veel.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 12:11]

Hmm, ik zou wikipedia niet als bron voor zulke informatie aannemen. Zeker als het net zo makkelijk op te zoeken is in een betrouwbaardere bron, namelijk de play store: https://play.google.com/s...UCMobile.intl&hl=en&gl=us

Laatste update was gisteren, dus ja de browser kan nog steeds issues hebben, maar de laatste update is niet van februari.
Ow, dat had ik dan inderdaad beter even kunnen doen. Dank voor je aanvulling.
Ook 'sinds 2015 al' vind ik wat kort door de bocht. De meeste reports zijn uit 2015, dat wil niet zeggen dat het nog steeds dezelfde app is als toen. Apps veranderen in 5 jaar ook vrij veel.
Met die verhalen uit de Wikipedia zou ik deze app in 2030 nog niet installeren. :P
Of jij vind een webbrowser die gemaakt wordt door Alibaba wel een goed plan?
Ik zeg niet dat ik het een goed plan vind, ik zeg alleen maar dat rapporten over leaks op wikipedia uit 2015 niet een hele goede bron zijn om te bepalen of een app lek is of niet. :)
Wat dan wel als de CVE classificatie ontbreekt? Dan val je toch terug op nieuwsartikelen, Wikipedia etc.
De bug is gerepareerd in Safari
[...]
In totaal ontdekten de onderzoekers tien kwetsbaarheden in mobiele browsers. Het gaat om Safari op de nieuwste versie van iOS...
[...]
...in Safari, Yandex en de Rits Browser zijn de kwetsbaarheden inmiddels opgelost.
Dit spreekt mekaar toch behoorlijk tegen? In de ene zin wordt beweerd dat de bug in de nieuwste versie aanwezig is en in de andere twee dat de problemen al zijn opgelost.

En de tabel onderaan maakt het nog verwarrender, daarin staat dat het om iOS 13.6 gaat! Dat is bij lange na niet de nieuwste versie; daarna verschenen nog iOS 13.6.1, 13.7, 14.0, 14.0.1 en 14.1.

[Reactie gewijzigd door Krulliebol op 24 juli 2024 12:11]

Op dit item kan niet meer gereageerd worden.