La vibrazione HTML5 presenta una vulnerabilità di sicurezza?

38

Durante la navigazione di un sito Web di notizie sul mio telefono cellulare, ricevo un avviso di infezione da virus che fa scattare il mio telefono a vibrare incessantemente. L'avviso ha il seguente aspetto:

Non mi aspettavo che il mio telefono vibrasse e l'avviso è in grado di dirmi il modello del mio telefono (primo pannello) e il sistema operativo (secondo pannello). Facendo clic sul pulsante Indietro, viene visualizzato un altro avviso a comparsa (terzo pannello).

Volevo quasi seguire le istruzioni sul secondo pannello per installare quello che sembra un antivirus. Ma fortunatamente, sono stato in grado di calmarmi abbastanza per rendermi conto che si tratta di uno spavento servito attraverso un server di annunci e che l'antivirus potrebbe essere il vero virus.

Dato che la funzione di vibrazione HTML5 è una nuova funzionalità che le persone difficilmente incontrano sui siti web. Non sarebbe una sorpresa che ci siano persone che cadono in preda a questa tattica.

La vibrazione HTML5 presenta una vulnerabilità di sicurezza? I browser mobili devono abilitare questa funzionalità sui siti Web per impostazione predefinita?

    
posta Question Overflow 02.08.2015 - 12:20
fonte

5 risposte

28

È stato usato un popup per mostrare l'avviso. Questo significa che la funzionalità popup introduce vulnerabilità? Quindi da quella linea di ragionamento JavaScript è la fonte di tutti i problemi. Ci sono persone che pensano che JS sia un vettore importante per gli attacchi e lo bloccano su siti Web non fidati con estensioni come NoScript.

Molte funzionalità possono essere utilizzate in modo improprio, e spetta a chi crea standard, browser e persino siti Web giudicare cosa è male e cambiare gli standard o implementare le mitigazioni. Ovviamente quelle persone possono sbagliarsi e alcune funzionalità possono essere utilizzate inaspettatamente per attaccare gli utenti.

Un bell'esempio è la console del browser che viene spesso utilizzata per ingannare gli utenti e incollare il codice JS che attacca l'utente. Questo ha aiutato i worm di Facebook a diffondersi con grande successo. Facebook lo ha notato e ha introdotto questo messaggio nella console:

Questafunzionedivibrazionepotrebbeindurrealcuniutentiapensarechesiaeffettivamenteilsistemaoperativochemostral'avviso,mapensochegliultimibrowsermobilifaccianounbuonlavoronelmostrareall'utentechesitrovaancoraall'internodelbrowser.Inquestocaso,ilmessaggiodalbrowserèabbastanzachiaro"La pagina su andro-apps.com dice:"

Se questo diventa un vettore importante per l'attacco, sono sicuro che i produttori di browser lo noteranno e apporteranno modifiche per ridurre l'impatto.

    
risposta data 02.08.2015 - 13:00
fonte
6

Suppose a malicious web page pops up a fake system notification and vibrates at the same time. How confident would you be of telling the difference between a legitimate pop-up and a .png on the web page you're viewing.

( Source )

Personalmente non ho sentito alcun exploit relativo all'API Vibrate HTML5, ma potrebbe essere usato per gli obiettivi maligni come mostrato nel link sopra. Ma più serio è quello che cita il testo sopra citato: non è possibile distinguere tra un pop-up legittimo e qualcos'altro . Questo qualcos'altro potrebbe essere un pop-up utilizzato per attivare un attacco di download drive-by portare all'installazione di malware (di solito spyware o adware) sul tuo sistema sfruttando le vulnerabilità del browser che usi (o dei suoi plugin).

But luckily, I was able to calm my nerves sufficiently to realize that this is a scare-ware served through an ad-server and that the anti-virus could be the actual virus.

Sei stato piuttosto saggio nella tua decisione perché potrebbe essere un attacco di download drive-by. Prova a utilizzare gratuitamente (ma potenti) servizi come Stop Badware sul tuo laptop per vedere se il sito web che hai navigato è nella lista nera (potrebbe esserci una notifica negativo nel caso in cui il sito Web sia stato compromesso troppo di recente e nessuno lo ha segnalato).

    
risposta data 02.08.2015 - 12:37
fonte
4

Onestamente, la domanda principale è se la vibrazione del telefono darà a un'applicazione / sito Web una maggiore autorità che senza la vibrazione. Ora, ovviamente mi manca qualche ricerca su questo specifico problema, ma possiamo notare che le applicazioni non usano le vibrazioni come un modo per convocare l'autorità. Semmai, per un'applicazione, si sentirà male vibrare mentre è accesa e essere un indicatore in più che qualcosa è strano riguardo alla situazione, poiché la vibrazione tende a essere attivata solo quando lo schermo è spento.

Per alcune persone la vibrazione crea una sensazione di urgenza? Sicuramente, e quindi potrebbe marginalmente migliorare l'efficienza dello scareware, ma anche se così fosse, non sarebbe comunque una vulnerabilità di sicurezza in quanto l'API di vibrazione non permetterebbe a nessuno di fare ciò che non è permesso fare, il che è una caratteristica necessaria di una vulnerabilità di sicurezza. Quindi, in conclusione, non è sicuramente una vulnerabilità di sicurezza e sarebbe poco sensato chiuderlo dietro una finestra di dialogo di autorizzazione.

    
risposta data 02.08.2015 - 16:37
fonte
3

Non è una vulnerabilità di per sé in quanto non può essere utilizzata per sfruttare direttamente il dispositivo, ma sicuramente può essere e (come indica la tua domanda) è stato utilizzato per attacchi di social engineering.

Nel caso che hai menzionato, viene utilizzato per creare un senso di urgenza e indurre l'utente a installare software indesiderato. Può anche essere utilizzato in combinazione con i prompt che simulano i dialoghi generati dal Sistema operativo o altre app sul telefono per indurre l'utente a caricare contenuti dannosi.

Firefox per Android ora ha una richiesta di autorizzazione per la vibrazione a partire dalla versione 49 ( origine della pagina ; rapporto sui bug pertinente ):

    
risposta data 26.09.2016 - 20:58
fonte
2

Is HTML5 vibration feature a security vulnerability? Should mobile browsers enable such a feature on websites by default?

Almeno nello scenario che descrivi, no. La funzione di vibrazione qui facilita un attacco di ingegneria sociale, ma viene utilizzata come previsto e progettato.

In un senso più generale, potrebbero esserci altre vulnerabilità di sicurezza legate all'API vibrata (o, peraltro, a qualsiasi altra caratteristica HTML)

    
risposta data 30.11.2015 - 02:09
fonte

Leggi altre domande sui tag