金利0無利息キャッシング – キャッシングできます

 | 

2012-07-31

Google ChromeとSafari用のYahooツールバーの話

17:00 | Google ChromeとSafari用のYahooツールバーの話  - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - Google ChromeとSafari用のYahooツールバーの話  - 金利0無利息キャッシング – キャッシングできます

どの拡張機能でも割とそういうところはあるけど、拡張機能側のcontextでJavaScriptが実行できてしまうと、Webサイト側で任意のJavaScriptが実行されるよりも遥かに危険であることが多い(開いてるタブ一覧取れたりとか)

この説明だと、何ができたのかが分かりにくい。

Safari用、Google Chrome用のYahooツールバーは、Webページに対してiframeを追加するという方法で実装されている。 参考: http://blogs.yahoo.co.jp/yjtb_blog/30769250.html

ツールバーがブラウザのWebサイト表示してる内側の部分に描画されているわけ。なのでブラウザのネイティブのUIとしてツールバーが追加されるIE,Firefox用のYahooツールバーと違って、

  • Yahooツールバーを入れていることがWebサイト側から検出できる
  • Yahooツールバーを入れている人に対して、偽のYahooツールバーもどきを出すことが出来る

で、これは自明すぎることなので、もっと悪用される可能性が高い脆弱性があったのだろうと推測している。実際に、ものすごいユーザーが多い拡張機能ならともかく、特定のブラウザの特定の拡張機能向けにそういった罠を仕掛けられるということが起こるかというと、まず起こらないだろうし「一回きりの偽装」でたまたま引っかかったとしても取得できるデータはたかが知れている。例えば、拡張機能側のscriptに本来ならyahoo.co.jpからしか受付ないはずの設定変更するためのメッセージを送って検索エンジンの設定をユーザーに気付かれずにこっそり変更できるような脆弱性があって、別のサーバーに検索ワードを送るようにした上で、正常に動作しているように見せるためにYahooにリダイレクト、ユーザーに気付かれずに継続的に検索語句を収集可能だった、といったシナリオ。発見者は報告した脆弱性が修正されたことを確認するだろうし、Yahooもいくらなんでもそれぐらいのことは分かった上でリリースしてるだろう。大きな脆弱性が修正されたが、UI偽装は引き続き出来る、というのが現状の自分の認識。

こんなのは簡単に作れる

(iframeの中身はSame origin policyによって読めないが、Webページ側から別の要素を重ねあわせることはできる)

http://www.forest.impress.co.jp/docs/news/20120730_550096.html

"リモートからツールバーが書き換えられてしまい、ツールバーに入力した検索キーワードが漏洩してしまう可能性がある" というのは、この仕組みで実装されている以上、避けられないものです。

http://www.itmedia.co.jp/news/articles/1207/30/news063.html

"IPAとJPCERT コーディネーションは、ヤフーが提供する最新版の利用でこの問題の影響を回避できるとし" いいえ、回避できません。デマです。誤報です。ガセです。

まとめ

実際にはYahooツールバー利用者をターゲットにしてピンポイントに罠をしかけられるという可能性は低いだろうけれど、Webページ側にiframeを挿入するという方式で実装されている以上、Webページ側から偽のツールバーを重ねあわせるということは引き続き可能です。これは自明なことです。分かりきってることです。小学校卒業できる程度の知能があれば理解できることです。こういう仕組みで実装されている以上は、Webページ側から別の要素を重ねあわせて上書きされていたり、丸ごと差し替えられる可能性があるということを脳の片隅に入れておかなければならないものです。Yahooとしては脆弱性があります、悪用される可能性があります、などと言いながら配布することは出来ないだろうから、ブログに仕組みを書いて後は空気読んで判断しろぐらいのつもりだったのだろう。悪用される可能性があるからリリースしてはいけない程のものだとは思わない。そういうものと理解して使う分には問題ないレベルのものと思っている(俺は使わないけど)。様子を見つつ需要があることが分かれば「この仕組だとそもそも安全に実装できないからChromeにツールバー作るための拡張用API作ってくれ」って言える。

問題は「脆弱性が修正された」とアナウンスされてしまうことで、ネイティブUIで表示されている他のツールバーと同等の安全性を持つものと勘違いされてしまう恐れがあることだ。新聞やニュースサイトは全く信頼ならず、賢い諸君らは金利0無利息キャッシングなどというふざけた名前のブログを愛読する、まさにこの世は地獄である。

追記

Safari拡張にはツールバーを作るためのAPIがあるので、Webページ側からUI偽装出来ないように作ることが出来る。

http://developer.apple.com/library/safari/#documentation/Tools/Conceptual/SafariExtensionGuide/AddingExtensionToolbars/AddingExtensionToolbars.html

何でツールバー作る用途のAPIがあるのにiframeでやってしまっているのかというと、Google Chrome用の拡張とソースコードを共通化したかったためだろう。Google Chrome用とSafari用は全く同じソースから作られていて、パッケージングだけ違う。まあでも、Extension Barsを使ってもGoogle Chrome版とソースの大部分は使いまわせるだろうから、Safari版はExtension Bars使ったほうが良いんじゃないですかね。

追記2

8/3にjvnにこういうメールを送ってみたんですが10日経っても返事がありませんでした。

JVN#51769987 JVNDB-2012-000072に関して不明な点と要望があります。

http://jvn.jp/jp/JVN51769987/

http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000072.html

この書き方では「見た目上の書き換え」であるのか「Yahooツールバーの内部の設定を書き換え」られるものであるのか、区別が付きません。

Google Chrome用、Safari用のYahooツールバーは、Webページに対してiframeを埋め込むという方式で実装されているため、

悪意のあるWebページを訪問した際には、偽装されたYahooツールバーを表示したり、ツールバー上の検索ボックスの表示箇所に偽の検索ボックスを重ねあわせて表示することが可能になっています。

この問題は最新版でも解消されていないことを確認しています。

(ブログにこういった記事を書きました http://subtech.g.hatena.ne.jp/mala/20120731/1343721642 )

実際にこういった攻撃が行われる可能性は低いでしょうが、今回のJVNの発表、及び、それを受けての各メディアの報道は「そのような問題が解消している」と誤解されかねないものです。

CVEの説明では

"Yahoo! Toolbar 1.0.0.5 and earlier for Chrome and Safari allows

remote attackers to modify the configured search URL, and intercept

search terms, via a crafted web page."

となっており「設定が書き換えられる」というニュアンスが強いものになっています。

いくつか質問があります。

1. 今回の脆弱性は

A: ツールバーの内部設定が書き換えられてしまうもの

B: UI Redressingと呼ばれるような、UI偽装に起因するもの

C: あるいはその両方

どちらでしょうか?もしBであるならば脆弱性が解消していないことになりますし、Aであるならば記述が不正確、不明瞭であると言えます。

おそらくAであると考えているのですが、その場合「Aの問題については解消しているが、Bの問題については解決していない」ということが分かる表現にする必要があると考えます。

2. Bの問題についてはJVNとして既知でしょうか?

Google Chrome版については根本的な修正は難しいものの、影響を軽減する対策はいくつか考えられます。

またSafariについてはツールバーを作る拡張機能用のAPIを使用することでUI偽装の問題に対処できます。

回答しにくい質問かもしれません、ご検討いただければ幸いです。

KamilKamil2012/08/27 16:11I guess finding useful, reliable ifnomratoin on the internet isn't hopeless after all.

eiahqjmbbfreiahqjmbbfr2012/08/28 01:12pq1s3i <a href="http://afqfffupayxx.com/">afqfffupayxx</a>

yxeiyeeajrkyxeiyeeajrk2012/08/30 14:232HFKvy <a href="http://libkmdrgyhvb.com/">libkmdrgyhvb</a>

bimahnjqlwwbimahnjqlww2012/08/31 04:189AO3rb , [url=http://qzsvyhnjqsya.com/]qzsvyhnjqsya[/url], [link=http://zlqorrfslkgt.com/]zlqorrfslkgt[/link], http://chsuzofleona.com/

トラックバック - http://subtech.g.hatena.ne.jp/mala/20120731
 |