■ このスレッドは過去ログ倉庫に格納されています
OAuth認証(各種Webサービスにおける「Googleアカウントでログイン」)、悪用が簡単だった [787645228]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:51:33.83 ID:IDU39r4n0.net ?2BP(2222)
- https://img.5ch.net/ico/u_ocha.gif
「Googleでログイン」「Facebookでログイン」などのOAuth認証を模倣してパスワードを盗み出す手口が考案される 2022年03月22日
ウェブサービスの中には、サインインの際にGoogleやFacebookといった他サービスのアカウントを用いる「OAuth認証」が可能なものも存在しています。
このOAuth認証ページを模倣することでパスワードやIDを盗み出す手口が考案されました。
OAuth認証は、他のウェブサービスの登録情報を利用してウェブサービスへのサインインを可能とするものです。
(しかし)、このような偽物(画像参照↓)のページを偽物のウェブサイトに埋め込むことで、ユーザーは疑わずに資格情報を入力してしまう可能性があるとのこと。
この手口は過去にSteamの資格情報を盗もうとするフィッシングサイトで用いられたことも確認されています。
mr.d0x氏(この件を報告した人物)はこの手口を「Browser In The Browser(BITB)攻撃」と名付け、
「わずかな違いに気付く人はほとんどおらず、基本的に本物と区別できなくなります」と述べています。
https://gigazine.net/news/20220322-oauth-phishing-site/
https://i.gzn.jp/img/2022/03/22/oauth-phishing-site/real-fake-b3c219e9874e9baca7a0eb6da39d693c-d438a.png
- 2 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:52:20.74 ID:IDU39r4n0.net ?2BP(2222)
- https://img.5ch.net/ico/u_ocha.gif
オリジナルソース
Browser In The Browser (BITB) Attack | mr.d0x
https://mrd0x.com/browser-in-the-browser-phishing-attack/
- 3 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:52:46.50 ID:eSowsAGiM.net
- アドレスバー見てもだめか
- 4 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:53:04.96 ID:LkxTMKcd0.net
- こんなん絶対無理じゃん
- 5 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:53:16.00 ID:28N80Z/50.net
- いや使い回し&自分からIDパス全渡しとかバカ以外に引っかかるか?
- 6 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:54:08.16 ID:zsRh3luw0.net
- フィッシングの類か
- 7 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:54:29.80 ID:JtgShFeY0.net
- 何でurl同じなん
- 8 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:54:45.21 ID:UhkjN/570.net
- 真面目な話URL見る癖付けないとこういうの避けきるの不可能ぞ
- 9 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:55:25.73 ID:JtgShFeY0.net
- あーここに至るまでの偽サイトがあるってことか
普通のフィッシングやんけ
- 10 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:55:27.97 ID:xWDDZJIuM.net
- この認証使ってる奴おらんだろ
- 11 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:56:15.20 ID:5Qj9tagi0.net
- こんなん無理じゃん
- 12 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:56:28.71 ID:JtgShFeY0.net
- >>10
最近のはやりは何なんだ?
- 13 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:56:42.28 ID:UytBSufp0.net
- なぜurlが同じなんだ
- 14 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:57:04.56 ID:28N80Z/50.net
- いや、偽物とかそう言う話じゃないのわかる?
そもそも教えなくていいとこにわざわざ教えるとかゆとりとまんこと年寄りだけだって話だけだからどうでもいいがw
- 15 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:57:14.98 ID:UeXLrgac0.net
- ログイン画面がポップアップしたとみせかけてブラウザの画面ごと真似した偽物をページの上に表示するんだとさ
馬鹿らしい手口だがまぁ引っかかるだろうな
- 16 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:57:20.49 ID:ZXJ910g70.net
- URLで見抜けなくね?
どうやって見抜くん?
- 17 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:57:48.22 ID:swyp/wEY0.net
- ドメイン偽装ってどうやんの?
- 18 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:57:59.78 ID:njD6Y8Ar0.net
- ブラウザにパス覚えさせてるから逆に安全だわ
Yahoo, Microsoft, Facebookとか登録済みのはずなのにオートコンプリートされないのはURLが怪しいはず
- 19 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:58:16.98 ID:JdOhFjWT0.net
- >>7
元解説によると、URLバーや閉じるボタン最大化ボタンも含めて描画した新規のポップアップウィンドウを作ってる
OAuth認証が大体新規ウィンドウで開くのを真似てるんだね
怪しいサイトに行かない、リンクを開かないを徹底すればそもそもこんな新規ウィンドウが作られることもないけどね
しかしgigazineは相変わらず重要なことを書かねーな
- 20 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:58:21.45 ID:B9D1+wwk0.net
- >>16
しょうがないにゃあ……
- 21 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 21:59:31.68 ID:lnnUtbOC0.net
- >>19
要は、絵じゃん…
ってことか
- 22 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:00:07.91 ID:JtgShFeY0.net
- >>19
そういうことかよ
すごい発想だ
- 23 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:00:27.80 ID:+OoULOyf0.net
- そういや大手は新しくウィンドウ開いて認証が多いような
リダイレクトじゃダメなん?
- 24 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:02:24.87 ID:Z/rukRGM0.net
- 一応毎回証明書まで確認してる
- 25 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:05:09.54 ID:jBjls0jL0.net
- win+tabとかexposeで本物のウインドウかチェックしない限りわからんってことか
- 26 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:06:56.93 ID:I8+BMBc60.net
- OAuth
おーおうす
って言うの?
- 27 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:07:17.36 ID:EE8fJOfx0.net
- >>14
うんことか食ってそう
- 28 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:07:17.76 ID:jBjls0jL0.net
- でもこれしょうもない広告で昔からやってるやついたよな
ストレージの残り容量がありませんみたいなシステムポップアップっぽいデザインのバナー
- 29 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:07:39.52 ID:lJPuamRa0.net
- どう考えてもこんなの使うのは情弱
- 30 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:08:43.79 ID:8YMdcgo0M.net
- >>28
割れDLサイトのあれなw
- 31 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:09:03.89 ID:tbVByFdi0.net
- fishingじゃないのか…
- 32 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:09:39.01 ID:QyuvVwEz0.net
- Googleアカウントでログインする
新規アカウントをメールアドレスで作る
こう選択肢があったら迷わずメアドで作るわ
どこでどう漏れるか分からんから
- 33 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:11:00.46 ID:z75hbWnm0.net
- 気持ち悪いから一度も使ったことがない
- 34 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:13:20.99 ID:UU8uLsFI0.net
- >>2
>falseを返すonclickイベントが追加された場合、リンクにカーソルを合わせると、href属性にWebサイトが引き続き表示されますが、リンクがクリックされた場合、href属性は無視されます。この知識を使用して、ポップアップウィンドウをよりリアルに表示できます。
やばくねこの仕様🥺
- 35 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:14:36.20 ID:SZ2nA1Nd0.net
- >>31
それな
- 36 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:14:43.16 ID:yRGmsfIF0.net
- よくわからんけどスクリプト駆使して本物っぽく偽装してるのか
- 37 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:18:15.21 ID:TTAlADoW0.net
- オーオーズってもういい加減古いやろ
- 38 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:19:49.19 ID:C/BTii4c0.net
- 仮面ライダーオース
- 39 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:20:57.49 ID:fIH62Mbh0.net
- もうブラウザの自動入力に頼るしかないな
- 40 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:20:58.26 ID:sSFyzii30.net
- Googleでログインとか使ったことないな
あれ何のメリットがあるんや?
- 41 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:21:00.79 ID:u0nn7aQd0.net
- ドメインが一致してたらブラウザが勝手にパスワード入れるから
パスワードが自動入力されなければフィッシングサイトって簡単に解るだろ
- 42 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:22:41.85 ID:U0Jgo+TQ0.net
- 信頼できるルートのURLにだけアクセスだな
- 43 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:23:05.98 ID:g447pTlh0.net
- ただのフィッシングじゃん
Oauthは悪くない、引っかかるガイジが悪い
- 44 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:23:08.10 ID:YUisF16H0.net
- >>19
全部まとめてカモフラージュってことかよ
- 45 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:24:02.59 ID:tgVyhRVl0.net
- >>34
結局遷移先でURLは分かるんだから大した問題じゃないという判断だろうけど
この攻撃とは相性抜群だな
- 46 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:25:04.29 ID:3uFHCyuF0.net
- >>19
すごくわかりやすかった
このギガジンってサイトはガキがやってるんかね?
- 47 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:27:16.36 ID:/xY81P8E0.net
- 基本oauth対応してないところのアカウントは作らないや。パスワード管理だるいし
とはいえ怪しいサイトで使おうとは思わんけど
- 48 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:27:24.81 ID:eLOiNUWz0.net
- これずっと安全な仕組みがよくわからなかったから一度たりとも使ってないわ
- 49 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:30:04.23 ID:+HRh+6880.net
- こんな認証してるやつおるんかってのと、こんなん引っかかるやつおるんか
- 50 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:30:05.57 ID:V4HjpW070.net
- >>19
なるほど、そういう仕組みか
- 51 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:33:17.71 ID:sgoqRgTL0.net
- >>19
どっちもfacebook.comじゃんと思ったら1個は絵なんか…
- 52 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:34:51.68 ID:C3fM873G0.net
- あやしいwebサービスに登録しなければOKかな
- 53 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:36:07.20 ID:VnFiliXN0.net
- 要するにフィッシングサイトにIDPW入れちゃうのと同じって話じゃん
- 54 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:38:48.07 ID:tG478uPC0.net
- たまにOAuthでログインさせといて、さらにそのサイトのパスワードも設定させるところがあってクソだと思う
- 55 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:45:01.54 ID:wDTe/0pF0.net
- urlのところがそれっぽい描画してるだけならそこに文字入力できるかどうかで判断できそうだな
- 56 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:51:02.29 ID:RuqSHnCIM.net
- >>19
絵じゃん
- 57 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:57:03.48 ID:7u67qq+00.net
- >>19
なるほど
>>51
URL部分は文字
- 58 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:58:11.88 ID:7u67qq+00.net
- >>55
独自テキストボックスだろうから入力はできるだろ
URL欄ではないだけで
- 59 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 22:59:25.41 ID:IITiZYuF0.net
- 怪しいサイトがOAuthに対応してる振りしてフィッシングするって事?
自分のユーザーのOAuth先のアカウントを掠めとるとか信用もへったくれもないが
- 60 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:12:25.35 ID:QyuvVwEz0.net
- ポップアップって普段のUIと違うよな
あれは確かに混乱する
- 61 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:19:38.86 ID:py3jsJX50.net
- ブラウザーインブラウザー
BIB
ブンブン
- 62 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:27:10.31 ID:2rMXRRpF0.net
- あれは極力使わないようにしてる
- 63 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:33:18.31 ID:ZWnmH3pn0.net
- >>19
URLバーの無いポップアップを止めればいいんやね
- 64 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:34:40.09 ID:WQ9cRXD20.net
- >>58
githubでソースコード見たけど文字列表示してるだけだから入力もなにもない
BITBはあまりに陳腐すぎて誰もやらないだろっていうのを本当にやってみた感が強い
- 65 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:37:02.38 ID:WQ9cRXD20.net
- >>63
href tagのonclickが発火条件であまりに処理が不審すぎるから普通に気付くと思うよ
- 66 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/22(火) 23:40:28.89 ID:THu9Wi4g0.net
- 将棋倒しになると怖いから
アカウントはサービスごとに作ってパスワードも異なるものにしてる
- 67 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 00:27:10.18 ID:Ts9uYnHZ0.net
- >>19
これはやられるかもしれんわ
- 68 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 07:18:14.11 ID:D6om0wNc0.net
- 【版権禁止】絵を描いてうpしてリメイクし合うスレXX2
http://おーぷん.おーぷん2ch.net/test/read.cgi/oekaki/1592032957/
おーぷん=open
- 69 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 09:04:45.56 ID:wtfe8rW10.net
- >>19
大手サイトもポップアップによるSNS認証は多い
- 70 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 09:06:43.65 ID:bSWg7jym0.net
- あーこれやられたらひっかかるかもな
- 71 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 10:23:38.29 ID:dtmO7Qqc0.net
- 偽物のウェブサイトに行かなければいい
- 72 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 10:25:39.57 ID:0jFNDXZ30.net
- >>19
海外サイト行くと見るなこれ
- 73 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 10:34:47.44 ID:SVPn0Rct0.net
- 絵のやつならよく見れば見分けつくから大丈夫
- 74 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 10:57:31.78 ID:xqB688qhM.net
- パスワードマネージャはURLを判別して起動するから
いつもなら使えるパスワード自動入力ができなくなる
だいたいそこで気づくやろ
- 75 :番組の途中ですがアフィサイトへの\(^o^)/です :2022/03/23(水) 11:51:50.72 ID:FnNg1ZVu0.net
- あんま関係ないけどLINEとかFB Messengerに届いたURLやボタンをクリックしてログインするタイプのってセッションないしなりすまし検知できなくね?
時間制限付きのトークンでごまかすとかしか出来ないけどこれいいのか
総レス数 75
17 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200