Software | Prohlížeče | Bezpečnost | Edge

Vážná chyba v prohlížeči Edge: Útočníci mohou zobrazit falešné upozornění

Vážná chyba v prohlížeči Edge: Útočníci mohou zobrazit falešné upozornění

Nezávislý bezpečnostní expert odhalil chybu v internetovém prohlížeči Edge od Microsoftu. Díky ní může potenciální útočník zobrazit falešné varovné zprávy s vlastním textem. Na hrozbu upozornil The Register.

SmartScreen je bezpečnostní prvek implementovaný v prohlížečích Internet Explorer a Microsoft Edge. Uvedená funkce kontroluje v reálném čase, na jaké stránky se chce uživatel připojit a na základě dynamických seznamů určí, zda se jedná o bezpečný web nebo ne. V případě možného ohrožení se zobrazí varování a prohlížeč tento web neotevře.

Manuel Caballero však v této užitečné funkci odhalil vážné nedostatky. Záškodníci totiž mohou díky jednoduchému skriptu označit jakoukoliv legitimní internetovou stránku jako nebezpečnou. Navíc do oficiálního varování mohou vložit libovolný text, včetně odkazu či telefonního čísla, které se vytočí ihned po kliknutí na něj.

Jediné, co musí hackeři udělat, je přesvědčit uživatele, aby navštívili internetové stránky s tímto skriptem. Hrozba tak může přijít ve formě odkazu přes e-mail nebo přes sociální sítě. S využitím prvků sociálního inženýrství v kombinaci například s telefonickým phishingem dokáží útočníci vymámit od nic netušící oběti prakticky jakékoliv informace.

Koncept útoku je zveřejněn

Zranitelnost, která není v současnosti opravena, byla popsána pro internetový prohlížeč Microsoft Edge v prostředí operačního systému Windows 10. Caballero se vyjádřil pro server Bleeping Computer, že v minulosti již hlásil Microsoftu několik jiných chyb, přičemž společnost tato hlášení ignorovala. Proto se rozhodl, že tentokrát nebude nic nahlašovat a rovnou zveřejnil i koncept útoku.

Demonstrační rozhraní je dostupné na tomto odkazu. URL adresu, jakož i vlastní text, který se má zobrazit, lze libovolně měnit.

Klepněte pro větší obrázek
Kolegové ze Živé.sk falešné hlášení vyzkoušeli. Takto může vypadat.

V případě podezřelého hlášení závadných stránek ze strany prohlížeče Edge je teď nutná obezřetnost, hlášení mohou být falešná. Pokud se stránka s upozorněním objeví, přečtěte si její obsah - na falešné budou odkazy či telefonní čísla, což oficiální upozornění neobsahuje.

Diskuze (18) Další článek: Letos se prodá přes 2 miliony brýlí pro virtuální realitu, vedou Sony a HTC

Témata článku: Software, Microsoft, Prohlížeče, Bezpečnost, Edge, Možné ohrožení, Demos, Bezpečný web, Uvedená funkce, Bleeping Computer, Bezpečnostní prvek, Potenciální útočník, Sociální inženýrství, Prohlížeč, Libovolný text, Vážná chyba, Záškodník, Sociální inženýr, Upozornění, Chyba, Legitimní využití, Oficiální varování


Určitě si přečtěte

16 tipů a vychytávek, se kterými dokonale ovládnete komunitní navigaci Waze

16 tipů a vychytávek, se kterými dokonale ovládnete komunitní navigaci Waze

** Waze není jen navigace – je to i sociální síť s dopravními informacemi ** Mobilní aplikace skýtá široké možnosti nastavení ** Vybrali jsme pro vás 16 nejzajímavějších tipů a triků

Karel Kilián | 43

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

** Windows 10 tu jsou už čtyři roky, první verze dorazila 29. 7. 2015 ** Desítky měly nahradit neúspěšnou řadu Windows 8.x ** I po letech však systém budí emoce a zůstává kočkopsem

Jakub Čížek | 110

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

** Klasický počítač bezchybně zpracuje bit po bitu dat ** Mozek si realitu naopak spíše představuje a chybuje ** Teď se tím baví internet u další optické iluze

Jakub Čížek | 31



Aktuální číslo časopisu Computer

Velký test Wi-Fi mesh

Nejlepší hodinky pro všechny aktivity

Důležité aplikace na cesty

Jak streamovat video na Twitch