手機瀏覽器の地址欄欺騙攻擊卷土重來:為惡意攻擊敞開大門
網絡安全研究員披露了一個地址欄欺騙漏洞的細節,該漏洞會影響多個移動瀏覽器,如蘋果Safari和Opera Touch,為魚叉式網絡釣魚攻擊和傳播惡意軟件打開大門。
真-偽地址欄圖形真假難辨
其他受影響的瀏覽器包括UC網頁、Yandex瀏覽器,Bolt瀏覽器和RITS瀏覽器。
這些漏洞是巴基斯坦安全研究員Rafay Baloch在2020年夏天發現的,并在8月由Baloch和網絡安全公司Rapid7聯合報告,之后瀏覽器廠商在過去幾周內解決了這些問題。
UCWeb和Bolt瀏覽器還沒有打補丁,Opera Mini預計將在2020年11月11日進行補丁。
這個問題的起因是在任意一個網站中使用惡意的可執行JavaScript代碼,使瀏覽器在頁面加載時跳轉到攻擊者選擇的另一個地址時,被迫更新地址欄。
原始PoC演示
Rafay Baloch在技術分析中說:“這個漏洞是由于Safari保存了URL的地址欄,當通過任意端口請求時,設置的間隔函數會每2毫秒重新加載bing.com:8080,因此用戶無法識別從原始URL到欺騙URL的再次被迫定向。”
“默認情況下,除非通過光標設置焦點,否則Safari不會顯示URL中的端口號,這使得這個漏洞在Safari中更加有效。”
換句話說,攻擊者可以建立一個惡意網站,誘使目標從欺騙的電子郵件或短信中打開鏈接,從而導致毫無戒心的收件人下載惡意軟件,或冒著證書被盜的風險。
這項研究還發現,macOS版本的Safari瀏覽器也容易受到同樣的漏洞的攻擊,據Rapid7稱,上周發布的大更新中已經解決了這個問題。
這不是第一次在Safari中發現這樣的漏洞。早在2018年,Baloch就披露了一個類似的地址欄欺騙漏洞,導致瀏覽器保留地址欄,并通過javascript誘導的延時從欺騙的頁面加載內容。
Baloch說:“隨著魚叉式釣魚攻擊越來越復雜,利用基于瀏覽器的漏洞,如地址欄欺騙,會加劇魚叉式釣魚攻擊的成功,證明是非常致命的。”
“首先,當地址欄指向一個值得信任的網站,并且沒有任何偽造跡象時,就很容易說服受害者竊取證書或傳播惡意軟件。其次,由于該漏洞利用了瀏覽器的一個特定功能,它可以逃避多個反釣魚方案和解決方案。”
