Apple en Opera repareren spoofingkwetsbaarheid in adresbalk van mobiele browsers

Beveiligingsonderzoekers van Rapid7 hebben tien bugs in zeven mobiele browsers gevonden waarmee de url in een adresbalk kan worden gespoofd. De bug is gerepareerd in Safari, en er komen patches uit voor meerdere Opera-browsers.

Opera Mini spoofedHet lek werd ontdekt door Rapid7, dat samenwerkte met beveiligingsonderzoeker Rafay Baloch. In totaal ontdekten de onderzoekers tien kwetsbaarheden in mobiele browsers. Het gaat om Safari op iOS 13.6, en om Opera's Touch- en Mini-browsers voor iOS. Daarnaast zijn verschillende kleinere browsers getroffen, waaronder de Russische Yandex-browser, UC Browser, Bolt Browser en Rits Browser. Nog niet alle bugs zijn gerepareerd.

De exploit wordt ingezet tussen het moment dat een mobiele webpagina laadt en het moment dat de browser de adresbalk kan verversen. Een aanvaller kan op dat moment een pop-up of een andere website laten verschijnen, waarbij het lijkt alsof er een legitieme website wordt bezocht terwijl het gaat om een website met een andere url. De bug kan worden uitgebuit als slachtoffers op een phishingwebsite komen waar JavaScript op kan worden uitgevoerd. Een van de onderzoekers heeft een proof-of-concept uitgebracht in een paper.

Hoewel de kwetsbaarheid in verschillende browsers voorkomt, heeft niet iedere browsermaker het lek al gerepareerd. Alleen in Safari, Yandex en de Rits Browser zijn de kwetsbaarheden inmiddels opgelost. Opera zegt op 11 november met een fix te komen, en bij de Bolt Browser en de UC Browser kregen de onderzoekers helemaal geen contact met de makers.

CVE Browser Status
CVE-2020-7363 UC Browser 13.0.8 Android Geen gehoor van maker
CVE-2020-7364 UC Browser 13.0.8 Android Geen gehoor van maker
Volgt nog Opera Mini 51.0.2254 Android Fix komt op 11 november
Volgt nog Opera Touch 2.4.4 iOS Fix komt op 11 november
Volgt nog Opera Touch 2.4.4 iOS Fix komt op 11 november
Volgt nog Opera Touch 2.4.4 iOS Fix komt op 11 november
CVE-2020-7369 Yandex Browser 20.8 Android Gerepareerd
CVE-2020-7370 Bolt Browser 1.4 iOS Geen gehoor van maker
CVE-2020-7371 Rits Browser 3.3.9 Android Gerepareerd
CVE-2020-9987 Safari op iOS 13.6 Gerepareerd

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-10-2020 16:45 13

20-10-2020 • 16:45

13

Lees meer

Java 17 krijgt nieuwe implementatie voor randomnummergenerators
Java 17 krijgt nieuwe implementatie voor randomnummergenerators Nieuws van 9 februari 2021
GameMaker Studio-maker is vermoedelijk aan Opera verkocht voor 8 miljoen euro
GameMaker Studio-maker is vermoedelijk aan Opera verkocht voor 8 miljoen euro Nieuws van 20 januari 2021
Opera voegt muziekspeler met streamingdiensten als Spotify toe aan zijbalk
Opera voegt muziekspeler met streamingdiensten als Spotify toe aan zijbalk Nieuws van 19 november 2020
Chrome krijgt waarschuwingsfunctie als webformulier onbeveiligd wordt verstuurd
Chrome krijgt waarschuwingsfunctie als webformulier onbeveiligd wordt verstuurd Nieuws van 17 augustus 2020
Chrome 84 gaat waarschuwen voor misleidende notificatieverzoeken
Chrome 84 gaat waarschuwen voor misleidende notificatieverzoeken Nieuws van 28 mei 2020
Google brengt Chrome OS 80 met minder opvallende notificatieblokkade uit
Google brengt Chrome OS 80 met minder opvallende notificatieblokkade uit Nieuws van 3 maart 2020
Google maakt verzoeken voor pushnotificaties van sites in Chrome minder aanwezig
Google maakt verzoeken voor pushnotificaties van sites in Chrome minder aanwezig Nieuws van 9 januari 2020
Google verwijdert mogelijkheid om altijd www te tonen in adresbalk Chrome
Google verwijdert mogelijkheid om altijd www te tonen in adresbalk Chrome Nieuws van 13 december 2019
Meer producten en artikelen
Beveiliging en antivirus Apple Opera Safari

Reacties (13)

-Moderatie-faq
13
13
7
0
0
3
Wijzig sortering
Phyxion 20 oktober 2020 16:59
Sowieso hebben de meeste mobiele browsers een groot probleem omdat ze automatisch de URL bar weghalen op het moment dat je naar beneden scrollt. Een kwaadwillende site kan een URL bar dan eenvoudig na maken. Helaas biedt bijna geen enkele mobiele browser meer een optie om deze permanent in beeld te zetten :(
Naafkap @Phyxion20 oktober 2020 18:25
iOS laat op iOS 14 keurig het adres zien bovenaan, ook tijdens scrollen.
gday @Naafkap21 oktober 2020 02:17
Safari laat toch alleen het domein zien?
Naafkap @gday21 oktober 2020 06:08
Klopt, maar dat is principe toch ook voldoende? Spoofing vindt normaal gesproken niet plaats op hetzelfde domein.
horizon1978 @Phyxion20 oktober 2020 18:07
Opera.
willyb 20 oktober 2020 17:54
Het viel sinds de laatste Safari versie al op dat je soms oude urls in de locatiebalk ziet terwijl een compleet andere site aan het laden was. Verbaast me niets dat na goed onderzoek er dan een spoofing kwetsbaarheid gevonden kon worden. Goed werk daar!
PVD66 20 oktober 2020 19:51
Ik snap niet dat mensen bij belangrijke websites inloggegevens niet in de sleutelhanger bewaren. Deze werkt immers alleen bij de juiste website. Als je dan bij de website niet automatisch de juiste inloggegevens krijgt moet er toch een lampje gaan branden ...
dehardstyler 20 oktober 2020 16:51
Ik heb net even de UC browser opgezocht en dat wil je sowieso niet op je telefoon hebben: https://en.wikipedia.org/wiki/UC_Browser

Zo lek als een mandje, sinds 2015 al. De laatste update is ook van februari 2020, dus dat zegt al genoeg.
Verwijderd @dehardstyler20 oktober 2020 16:59
Hmm, ik zou wikipedia niet als bron voor zulke informatie aannemen. Zeker als het net zo makkelijk op te zoeken is in een betrouwbaardere bron, namelijk de play store: https://play.google.com/s...UCMobile.intl&hl=en&gl=us

Laatste update was gisteren, dus ja de browser kan nog steeds issues hebben, maar de laatste update is niet van februari.

Ook 'sinds 2015 al' vind ik wat kort door de bocht. De meeste reports zijn uit 2015, dat wil niet zeggen dat het nog steeds dezelfde app is als toen. Apps veranderen in 5 jaar ook vrij veel.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 12:11]

dehardstyler @Verwijderd20 oktober 2020 17:12
Hmm, ik zou wikipedia niet als bron voor zulke informatie aannemen. Zeker als het net zo makkelijk op te zoeken is in een betrouwbaardere bron, namelijk de play store: https://play.google.com/s...UCMobile.intl&hl=en&gl=us

Laatste update was gisteren, dus ja de browser kan nog steeds issues hebben, maar de laatste update is niet van februari.
Ow, dat had ik dan inderdaad beter even kunnen doen. Dank voor je aanvulling.
Ook 'sinds 2015 al' vind ik wat kort door de bocht. De meeste reports zijn uit 2015, dat wil niet zeggen dat het nog steeds dezelfde app is als toen. Apps veranderen in 5 jaar ook vrij veel.
Met die verhalen uit de Wikipedia zou ik deze app in 2030 nog niet installeren. :P
Of jij vind een webbrowser die gemaakt wordt door Alibaba wel een goed plan?
Verwijderd @dehardstyler20 oktober 2020 17:32
Ik zeg niet dat ik het een goed plan vind, ik zeg alleen maar dat rapporten over leaks op wikipedia uit 2015 niet een hele goede bron zijn om te bepalen of een app lek is of niet. :)
dehardstyler @Verwijderd20 oktober 2020 17:42
Wat dan wel als de CVE classificatie ontbreekt? Dan val je toch terug op nieuwsartikelen, Wikipedia etc.
Krulliebol 21 oktober 2020 03:24
De bug is gerepareerd in Safari
[...]
In totaal ontdekten de onderzoekers tien kwetsbaarheden in mobiele browsers. Het gaat om Safari op de nieuwste versie van iOS...
[...]
...in Safari, Yandex en de Rits Browser zijn de kwetsbaarheden inmiddels opgelost.
Dit spreekt mekaar toch behoorlijk tegen? In de ene zin wordt beweerd dat de bug in de nieuwste versie aanwezig is en in de andere twee dat de problemen al zijn opgelost.

En de tabel onderaan maakt het nog verwarrender, daarin staat dat het om iOS 13.6 gaat! Dat is bij lange na niet de nieuwste versie; daarna verschenen nog iOS 13.6.1, 13.7, 14.0, 14.0.1 en 14.1.

[Reactie gewijzigd door Krulliebol op 24 juli 2024 12:11]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq