網(wǎng)絡(luò)安全研究員披露了一個地址欄欺騙漏洞的細(xì)節(jié)，該漏洞會影響多個移動瀏覽器，如蘋果Safari和Opera Touch，為魚叉式網(wǎng)絡(luò)釣魚攻擊和傳播惡意軟件打開大門。

真-偽地址欄圖形真假難辨

其他受影響的瀏覽器包括UC網(wǎng)頁、Yandex瀏覽器，Bolt瀏覽器和RITS瀏覽器。

這些漏洞是巴基斯坦安全研究員Rafay Baloch在2020年夏天發(fā)現(xiàn)的，并在8月由Baloch和網(wǎng)絡(luò)安全公司Rapid7聯(lián)合報告，之后瀏覽器廠商在過去幾周內(nèi)解決了這些問題。

UCWeb和Bolt瀏覽器還沒有打補(bǔ)丁，Opera Mini預(yù)計將在2020年11月11日進(jìn)行補(bǔ)丁。

[[348416]]

這個問題的起因是在任意一個網(wǎng)站中使用惡意的可執(zhí)行JavaScript代碼，使瀏覽器在頁面加載時跳轉(zhuǎn)到攻擊者選擇的另一個地址時，被迫更新地址欄。

原始PoC演示

Rafay Baloch在技術(shù)分析中說:“這個漏洞是由于Safari保存了URL的地址欄，當(dāng)通過任意端口請求時，設(shè)置的間隔函數(shù)會每2毫秒重新加載bing.com:8080，因此用戶無法識別從原始URL到欺騙URL的再次被迫定向。”

“默認(rèn)情況下，除非通過光標(biāo)設(shè)置焦點(diǎn)，否則Safari不會顯示URL中的端口號，這使得這個漏洞在Safari中更加有效。”

換句話說，攻擊者可以建立一個惡意網(wǎng)站，誘使目標(biāo)從欺騙的電子郵件或短信中打開鏈接，從而導(dǎo)致毫無戒心的收件人下載惡意軟件，或冒著證書被盜的風(fēng)險。

這項研究還發(fā)現(xiàn)，macOS版本的Safari瀏覽器也容易受到同樣的漏洞的攻擊，據(jù)Rapid7稱，上周發(fā)布的大更新中已經(jīng)解決了這個問題。

[[348417]]

這不是第一次在Safari中發(fā)現(xiàn)這樣的漏洞。早在2018年，Baloch就披露了一個類似的地址欄欺騙漏洞，導(dǎo)致瀏覽器保留地址欄，并通過javascript誘導(dǎo)的延時從欺騙的頁面加載內(nèi)容。

Baloch說:“隨著魚叉式釣魚攻擊越來越復(fù)雜，利用基于瀏覽器的漏洞，如地址欄欺騙，會加劇魚叉式釣魚攻擊的成功，證明是非常致命的。”

[[348418]]

“首先，當(dāng)?shù)刂窓谥赶蛞粋€值得信任的網(wǎng)站，并且沒有任何偽造跡象時，就很容易說服受害者竊取證書或傳播惡意軟件。其次，由于該漏洞利用了瀏覽器的一個特定功能，它可以逃避多個反釣魚方案和解決方案。”