安全人员发现七款手机浏览器易遭地址栏欺骗攻击
虽然在桌面浏览器上有各种迹象和安全功能,可以用来检测恶意代码改变地址栏以显示假网址,但这在移动浏览器上是不可能的,因为移动浏览器的屏幕尺寸很重要,而且桌面浏览器中的许多安全功能都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线,地址栏欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。
在网络安全公司Rapid7今天发布的一份报告中,该公司表示,它与巴基斯坦安全研究人员Rafay Baloch合作,披露了七个移动浏览器应用中的十个新的地址栏欺骗漏洞。受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等大牌浏览器,也包括Bolt、RITS、UC浏览器和Yandex浏览器等小众应用。
这些问题在今年早些时候被发现,并在8月份向浏览器制造商报告。大厂商马上对这些问题进行了修补,而小厂商甚至懒得回复研究人员,使他们的浏览器容易受到攻击。Rapid7的研究总监Tod Beardsley说:"利用都归结为'JavaScript诡计'"。Rapid7的负责人表示,通过扰乱页面加载和浏览器有机会刷新地址栏URL之间的时间,恶意网站可以迫使浏览器显示错误的地址。
Beardsley认为,攻击很容易发动,建议用户尽快更新浏览器,或者转移到不受这些bug影响的浏览器上。