Home Assistant — это система автоматизации дома с открытым исходным кодом. Сервер Home Assistant не устанавливает заголовки безопасности HT…
Home Assistant — это система автоматизации дома с открытым исходным кодом. Сервер Home Assistant не устанавливает заголовки безопасности HTTP, включая заголовок X-Frame-Options, который указывает, разрешено ли веб-странице отображаться во фрейме. Отсутствие этого и связанных заголовков способствует скрытым атакам с подменой кликов и альтернативным возможностям эксплуатации, таким как вектор, описанный в этом совете по безопасности. Этот недостаток сопряжен с большим риском, учитывая возможность обманом заставить пользователей установить внешнее и вредоносное дополнение с минимальным взаимодействием с пользователем, что позволит удаленно выполнить код (RCE) в приложении Home Assistant. Эта проблема была решена в версии 2023.9.0, и всем пользователям рекомендуется обновиться. Обходных путей для этой уязвимости нет.
Веб-приложение не ограничивает или некорректно ограничивает объекты фреймов или слои пользовательского интерфейса, принадлежащие другому приложению или домену, что может привести к путанице у пользователя относительно того, с каким интерфейсом он взаимодействует.
https://cwe.mitre.org/data/definitions/1021.html →Открыть в коллекции CWE →Злоумышленник вынуждает жертву неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой — как правило, подконтрольной злоумышленнику или специально созданной им — системы.
https://capec.mitre.org/data/definitions/103.html →Открыть в коллекции CAPEC →Злоумышленник создаёт прозрачный оверлей с использованием Flash для перехвата действий пользователя с целью осуществления кликджекинг-атаки. При данной технике Flash-файл создаёт прозрачный оверлей поверх HTML-содержимого. Поскольку Flash-приложение находится поверх содержимого, действия пользователя — например, нажатия кнопок — перехватываются Flash-приложением, а не находящимся под ним HTML. Действие затем интерпретируется оверлеем для выполнения тех действий, которых хочет злоумышленник.
https://capec.mitre.org/data/definitions/181.html →Открыть в коллекции CAPEC →При атаке с наложением iFrame жертва обманом вынуждается неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой системы.
https://capec.mitre.org/data/definitions/222.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение имитирует ожидаемую или стандартную задачу с целью кражи конфиденциальной информации или получения привилегий пользователя.
https://capec.mitre.org/data/definitions/504.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение отображает интерфейс, вводящий пользователя в заблуждение и побуждающий нажать на нужное злоумышленнику место на экране. Зачастую это достигается путём наложения одного экрана поверх другого с видимостью единого интерфейса. Существует два основных метода достижения этого. Первый — использование свойства прозрачности, позволяющего нажатиям на экран проходить сквозь видимое приложение к приложению, работающему в фоновом режиме. Второй — стратегическое размещение небольшого элемента (например, кнопки или текстового поля) поверх видимого экрана таким образом, чтобы он воспринимался как часть нижележащего приложения. В обоих случаях пользователь нажимает на экран, не осознавая, с каким приложением взаимодействует.
https://capec.mitre.org/data/definitions/506.html →Открыть в коллекции CAPEC →Данный шаблон атаки сочетает вредоносный JavaScript и легитимную веб-страницу, загруженную в скрытый iframe. Вредоносный JavaScript получает возможность взаимодействовать с легитимной веб-страницей способом, незаметным для пользователя. Как правило, атака предполагает элемент социальной инженерии: злоумышленник должен убедить пользователя посетить веб-страницу под его контролем.
https://capec.mitre.org/data/definitions/587.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение имитирует запрос учётных данных с целью кражи учётных данных пользователя.
https://capec.mitre.org/data/definitions/654.html →Открыть в коллекции CAPEC →