手机浏览器の地址栏欺骗攻击卷土重来:为恶意攻击敞开大门

安全
网络安全研究员披露了一个地址栏欺骗漏洞的细节,该漏洞会影响多个移动浏览器,如苹果Safari和Opera Touch,为鱼叉式网络钓鱼攻击和传播恶意软件打开大门。

网络安全研究员披露了一个地址栏欺骗漏洞的细节,该漏洞会影响多个移动浏览器,如苹果Safari和Opera Touch,为鱼叉式网络钓鱼攻击和传播恶意软件打开大门。

真-伪地址栏图形真假难辨

其他受影响的浏览器包括UC网页、Yandex浏览器,Bolt浏览器和RITS浏览器。

这些漏洞是巴基斯坦安全研究员Rafay Baloch在2020年夏天发现的,并在8月由Baloch和网络安全公司Rapid7联合报告,之后浏览器厂商在过去几周内解决了这些问题。

UCWeb和Bolt浏览器还没有打补丁,Opera Mini预计将在2020年11月11日进行补丁。

[[348416]]

这个问题的起因是在任意一个网站中使用恶意的可执行JavaScript代码,使浏览器在页面加载时跳转到攻击者选择的另一个地址时,被迫更新地址栏。

原始PoC演示

Rafay Baloch在技术分析中说:“这个漏洞是由于Safari保存了URL的地址栏,当通过任意端口请求时,设置的间隔函数会每2毫秒重新加载bing.com:8080,因此用户无法识别从原始URL到欺骗URL的再次被迫定向。”

“默认情况下,除非通过光标设置焦点,否则Safari不会显示URL中的端口号,这使得这个漏洞在Safari中更加有效。”

换句话说,攻击者可以建立一个恶意网站,诱使目标从欺骗的电子邮件或短信中打开链接,从而导致毫无戒心的收件人下载恶意软件,或冒着证书被盗的风险。

这项研究还发现,macOS版本的Safari浏览器也容易受到同样的漏洞的攻击,据Rapid7称,上周发布的大更新中已经解决了这个问题。

[[348417]]

这不是第一次在Safari中发现这样的漏洞。早在2018年,Baloch就披露了一个类似的地址栏欺骗漏洞,导致浏览器保留地址栏,并通过javascript诱导的延时从欺骗的页面加载内容。

Baloch说:“随着鱼叉式钓鱼攻击越来越复杂,利用基于浏览器的漏洞,如地址栏欺骗,会加剧鱼叉式钓鱼攻击的成功,证明是非常致命的。”

[[348418]]

“首先,当地址栏指向一个值得信任的网站,并且没有任何伪造迹象时,就很容易说服受害者窃取证书或传播恶意软件。其次,由于该漏洞利用了浏览器的一个特定功能,它可以逃避多个反钓鱼方案和解决方案。”

 

责任编辑:赵宁宁 来源: 超级盾订阅号
相关推荐

2015-12-01 10:43:55

2021-07-15 14:04:06

物联网安全物联网IOT

2017-01-03 20:13:02

2009-06-15 14:21:18

2016-10-18 14:22:41

2020-10-21 11:48:22

欺骗漏洞

2009-07-16 14:13:35

Swing地址栏

2018-07-19 08:52:43

微软 Windows Linux

2011-11-04 15:28:49

傲游浏览器

2021-02-08 23:25:40

DanaBot恶意软件木马

2021-07-07 09:22:22

SolarWinds黑客漏洞

2013-09-24 10:15:06

2022-08-12 12:09:08

Android平台银行木马勒索攻击

2020-08-16 08:51:22

WEB安全网络攻击网络欺骗

2011-05-20 17:23:41

Chrome 13

2010-08-27 09:47:07

谷歌

2012-08-05 17:13:47

傲游

2010-08-26 17:54:16

微软

2015-09-21 09:23:50

2013-11-27 15:38:14

IE浏览器故障
点赞
收藏

51CTO技术栈公众号