愿这头雄狮能克服自身的缺点不断成长,让用户在上网时不再畏惧潜在的威胁。
作为一款开源软件,Brave一直以广告拦截,防cookie追踪、像素追踪等安全特性著称。产品安全一直被开发者视为重中之重,他们在Hackerone平台就开设了bug有奖征集项目,鼓励广大的网络安全人士参与到提高产品可靠性的活动中来。
本次漏洞正是由安全研究人员Aaditya Purani在Hackerone平台上首先披露的。他发现攻击者可以利用浏览器漏洞伪造网页进行网址欺骗,一旦用户点击访问就可能泄漏个人信息,攻击者更可以在虚假页面上实施挂马和钓鱼等行为。
简而言之,受害者看到地址栏里还是熟悉的网址,但页面内容却是由黑客控制的。
“我们本以为地址栏已经是唯一信得过的安全提示了”,许多公司这样感叹道。
重现漏洞下面是Purani 如何操作的:
首先他写了一个网址来伪造Brave浏览器地址栏(bravespoof.html)。为了模拟受害者环境,他还在这个网址里包含了一个要求用户提供登录名和密码的表单。接下来的关键在于,他使用函数f()指向https://facebook.com,并且设定setInterval函数每10ms执行一次f()。
通常情况下,这种做法会使得用户访问该网址时,URL和页面内容每隔10ms都会跳转到https://facebook.com(当然也有时无论URL或页面都没有任何跳转,但这两种情况显然都是安全的)。但是Purani发现,当使用Brave浏览器访问上述地址时,事情却没有这么简单。事实上,无论你通过Android还是IOS的Brave客户端去访问他构造好的网址,URL都会跳转到https://facebook.com(你可以看到甚至还有绿锁安全认证),但页面却还是Purani预先写好的内容。
这就意味着,某个习惯通过地址栏来判断安全性的用户很可能不经意间就把帐号密码泄漏给了虚假页面之后的黑客。(当然了黑客需要把网页做的更逼真一些:P)
其他浏览器反应如何?在Purani对Chrome的测试中,浏览器并没有更改URL到https://facebook.com,而是依旧停留在他伪造的网址上。Mozilla也给出了同样反应。但最让Purani满意的还是UC Mini(安卓平台)——无论网址还是页面都直接跳转到了https://facebook.com,将攻击消弭于无形。当然了,Safari也没有受此影响。
如果你对完整漏洞报告感兴趣,戳这里
没错,在他的一系列测试中,只有Brave悲剧了。受此漏洞影响的版本如下:
IOS Version 1.2.16(16.09.30.10)
Android Version 1.9.56
如果看到这里的你正使用上述受到影响的版本…也不用担心,因为这份漏洞报告是直到3个月后(的今天)才被公布出来的,而Brave安全团队早已于发现一周内修复了这个问题,因此暂无负面影响。
当然,好处还是有的——Purani本人因此获得了200$的奖金。在此之前Purani也曾向一众企业和机构提交多起高危安全漏洞,如WordPress Mobile Detector插件漏洞等。白帽子和安全平台的合作不仅协助了众多中小企业改善企业的安全环境,也让白帽子们收获颇丰。