安全人員發現七款手機瀏覽器易遭地址欄欺騙攻擊

雖然在桌面瀏覽器上有各種跡象和安全功能,可以用來檢測惡意代碼改變地址欄以顯示假網址,但這在移動瀏覽器上是不可能的,因為移動瀏覽器的屏幕尺寸很重要,而且桌面瀏覽器中的許多安全功能都不存在。由於地址欄是移動瀏覽器上唯一也是最後一道防線,地址欄欺騙漏洞在智能手機和其他移動設備上的危險性要高出許多倍。

在網絡安全公司Rapid7今天發布的一份報告中,該公司表示,它與巴基斯坦安全研究人員Rafay Baloch合作,披露了七個移動瀏覽器應用中的十個新的地址欄欺騙漏洞。受影響的瀏覽器包括蘋果Safari、Opera Touch和Opera Mini等大牌瀏覽器,也包括Bolt、RITS、UC瀏覽器和Yandex瀏覽器等小眾應用。

這些問題在今年早些時候被發現,並在8月份向瀏覽器製造商報告。大廠商馬上對這些問題進行了修補,而小廠商甚至懶得回復研究人員,使他們的瀏覽器容易受到攻擊。Rapid7的研究總監Tod Beardsley說:”利用都歸結為’JavaScript詭計'”。Rapid7的負責人表示,通過擾亂頁面加載和瀏覽器有機會刷新地址欄URL之間的時間,惡意網站可以迫使瀏覽器顯示錯誤的地址。

Beardsley認為,攻擊很容易發動,建議用戶盡快更新瀏覽器,或者轉移到不受這些bug影響的瀏覽器上。

安全人員發現七款手機瀏覽器易遭地址欄欺騙攻擊

安全人員發現七款手機瀏覽器易遭地址欄欺騙攻擊

來源:cnBeta