Categories
科技報導

安全人員發現七種移動瀏覽器容易受到地址欄欺騙攻擊



儘管台式機瀏覽器上有多種標誌和安全功能可用於檢測更改地址欄以顯示偽造URL的惡意代碼,但在移動瀏覽器上這是不可能的,因為移動瀏覽器的屏幕尺寸非常重要。 並且桌面瀏覽器中不存在許多安全功能。 由於地址欄是移動瀏覽器的唯一也是最後一道防線,在智能手機和其他移動設備上,地址欄欺騙漏洞的危險要高很多倍。

在網絡安全公司Rapid7今天發布的一份報告中,該公司表示,它與巴基斯坦安全研究員拉斐·巴洛赫(Rafay Baloch)合作,披露了七個移動瀏覽器應用程序中的十個新的地址欄欺騙漏洞。 受影響的瀏覽器包括諸如Apple的Safari,Opera Touch和Opera Mini之類的知名瀏覽器,以及諸如Bolt,RITS,UC瀏覽器和Yandex瀏覽器之類的利基應用程序。

這些問題已於今年年初發現,並於8月報告給瀏覽器製造商。 大型供應商立即修補了這些問題,而小型供應商甚至沒有理會研究人員的問題,使他們的瀏覽器容易受到攻擊。 Rapid7的研究主管Tod Beardsley說:“利用漏洞可以歸結為’JavaScript技巧’。” Rapid7負責人說,通過中斷頁面加載和瀏覽器之間有機會刷新地址欄中的URL的時間,惡意網站可以迫使瀏覽器顯示錯誤的地址。

Beardsley認為,這種攻擊很容易發動,建議用戶盡快更新其瀏覽器,或遷移到不受這些錯誤影響的瀏覽器。

安全人員發現七種移動瀏覽器容易受到地址欄欺騙攻擊 1

安全人員發現七種移動瀏覽器容易受到地址欄欺騙攻擊 2