hacker-1944688_1280

Apple/Opera/Yandex 已修复地址栏欺骗漏洞 但仍有数百万设备未修复

  • 浏览次数 15881
  • 喜欢 0
  • 评分 12345

作为老生常谈的话题,网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反网络钓鱼功能(通常是网络钓鱼受害者最后一道防线)并不完美。

1

他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。

这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接,恶意网页就会使用该网页上隐藏的代码,将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。

2

在某些情况下,容易受到攻击的浏览器保留了绿色的挂锁图标,表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞,他说地址栏欺骗攻击使移动用户面临特别的风险。

他表示:

在移动设备上,屏幕所显示的空间绝对是溢价的,因此每英寸都是非常重要的,所以没有足够的空间来放置安全信号。在台式机浏览器上,您既可以查看自己所处的链接,也可以将鼠标悬停在链接上以查看要去的地方,甚至单击锁以获取证书详细信息。

这些额外的资源实际上并不存在于移动设备上,因此,位置栏不仅可以告诉用户他们正在访问哪个网站,而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com,则可能会注意到这一点,并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可,从而使攻击者能够对其假站点产生一定的信任度和信任度。

到目前为止,只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示,其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。

但是UC浏览器,Bolt浏览器和RITS浏览器的制造商(总共安装了超过6亿个设备)没有对研究人员做出回应,并没有修补漏洞。

 

 

(消息来源:cnbeta,封面来自网络)