手機(jī)瀏覽器の地址欄欺騙攻擊卷土重來:為惡意攻擊敞開大門
網(wǎng)絡(luò)安全研究員披露了一個(gè)地址欄欺騙漏洞的細(xì)節(jié),該漏洞會影響多個(gè)移動瀏覽器,如蘋果Safari和Opera Touch,為魚叉式網(wǎng)絡(luò)釣魚攻擊和傳播惡意軟件打開大門。
真-偽地址欄圖形真假難辨
其他受影響的瀏覽器包括UC網(wǎng)頁、Yandex瀏覽器,Bolt瀏覽器和RITS瀏覽器。
這些漏洞是巴基斯坦安全研究員Rafay Baloch在2020年夏天發(fā)現(xiàn)的,并在8月由Baloch和網(wǎng)絡(luò)安全公司Rapid7聯(lián)合報(bào)告,之后瀏覽器廠商在過去幾周內(nèi)解決了這些問題。
UCWeb和Bolt瀏覽器還沒有打補(bǔ)丁,Opera Mini預(yù)計(jì)將在2020年11月11日進(jìn)行補(bǔ)丁。
這個(gè)問題的起因是在任意一個(gè)網(wǎng)站中使用惡意的可執(zhí)行JavaScript代碼,使瀏覽器在頁面加載時(shí)跳轉(zhuǎn)到攻擊者選擇的另一個(gè)地址時(shí),被迫更新地址欄。
原始PoC演示
Rafay Baloch在技術(shù)分析中說:“這個(gè)漏洞是由于Safari保存了URL的地址欄,當(dāng)通過任意端口請求時(shí),設(shè)置的間隔函數(shù)會每2毫秒重新加載bing.com:8080,因此用戶無法識別從原始URL到欺騙URL的再次被迫定向。”
“默認(rèn)情況下,除非通過光標(biāo)設(shè)置焦點(diǎn),否則Safari不會顯示URL中的端口號,這使得這個(gè)漏洞在Safari中更加有效。”
換句話說,攻擊者可以建立一個(gè)惡意網(wǎng)站,誘使目標(biāo)從欺騙的電子郵件或短信中打開鏈接,從而導(dǎo)致毫無戒心的收件人下載惡意軟件,或冒著證書被盜的風(fēng)險(xiǎn)。
這項(xiàng)研究還發(fā)現(xiàn),macOS版本的Safari瀏覽器也容易受到同樣的漏洞的攻擊,據(jù)Rapid7稱,上周發(fā)布的大更新中已經(jīng)解決了這個(gè)問題。
這不是第一次在Safari中發(fā)現(xiàn)這樣的漏洞。早在2018年,Baloch就披露了一個(gè)類似的地址欄欺騙漏洞,導(dǎo)致瀏覽器保留地址欄,并通過javascript誘導(dǎo)的延時(shí)從欺騙的頁面加載內(nèi)容。
Baloch說:“隨著魚叉式釣魚攻擊越來越復(fù)雜,利用基于瀏覽器的漏洞,如地址欄欺騙,會加劇魚叉式釣魚攻擊的成功,證明是非常致命的。”
“首先,當(dāng)?shù)刂窓谥赶蛞粋€(gè)值得信任的網(wǎng)站,并且沒有任何偽造跡象時(shí),就很容易說服受害者竊取證書或傳播惡意軟件。其次,由于該漏洞利用了瀏覽器的一個(gè)特定功能,它可以逃避多個(gè)反釣魚方案和解決方案。”
