キャプティブポータルでFacebook HTTPS Cookieを盗む

動作はブラウザに依存します。ブラウザがFacebook向けのHTTPSリクエストを実際にキャプティブポータルに送信する場合、それは明らかにブラウザの脆弱性です。しかし、状況を処理する他の方法があります。

最近、キャプティブポータルのあるネットワークを数回使用する必要がありました。そして、それらの場合、私は前のセッションからいくつかのFacebookタブを偶然開いていたChromiumを開始しました。

何が起こったかというと、適切なエラーメッセージが表示されたということです。しかし同時に、Chromiumは新しいタブを開きました。このタブは、キャプティブポータルに乗っ取られることを意図して、特定のHTTP URLにアクセスしました。キャプティブポータルを通過するとすぐに、Facebookのタブが自動的に再読み込みされ、今回はエラーが発生しませんでした。

したがって、Chromiumはキャプティブポータルの存在を検出し、安全に開き、キャプティブポータルを通過すると最後に検出するようです。

同様のキャプティブポータルの検出がAndroidおよびiOSに存在しますが、ブラウザーに関連付けられているのではなく、アクセスポイントとの関連付けの一部として行われます。

キャプティブポータルがどのように機能しているかについての理解にいくつかの誤解があります。私が出会ったキャプティブポータルは確かに別の方法で機能しました。

DNSトラフィックの傍受は行われませんでした。 DHCPを通じて提供されるDNSサーバーを使用している限り、コンピューターはキャプティブポータルにアクセスしなくても制限なしにDNSルックアップを実行できます。

ICMPトリックも引き出されません。むしろ、コンピュータとサーバーの間の正当なパス上のルーターの1つがTCPポート80への接続をハイジャックします。TCP接続がハイジャックされると、キャプティブポータルへのリダイレクトはブラウザに送信されます。適切な実装では、HTTPS URLにリダイレクトし、元のURLに関する情報を含めて、後でそこに送り返すことができます。キャプティブポータルとの通信全体は、実際にキャプティブポータルに属しているドメイン名の正当な証明書。

このアプローチはHTTPでは機能しますが、HTTPSでは機能しません。ハイジャックを実行しているルーターには、アクセスしているサイトの有効な証明書がないため、安全なブラウザーでは、HTTPSに対して同じハイジャックが行われた場合、証明書の警告が表示されます。

これをHTTPSで機能しないようにするには、3つの方法があります。

• セキュリティーに関する警告を無視し、リスクに関する非常に詳細な警告が表示された後でも個人情報が傍受されることをユーザーが受け入れることに依存します。
• すべてがどのように機能するかを理解し、自分でHTTP URLを開いてハイジャックされ、キャプティブポータルを通過した後に元のHTTPS URLにアクセスすることをユーザーに依存します。
• クライアントソフトウェアにキャプティブポータルの存在を検出させ、適切に処理させます。これは依然として、キャプティブポータルがフィッシング攻撃を実行しようとしているかどうかをユーザーが特定できることに依存していますが、少なくともCookieはリークされません。