苹果、Opera和Yandex修复了浏览器地址栏欺骗漏洞,但仍有数百万人易受攻击

2020-10-20 22:14:04

但即使是浏览器的反钓鱼功能-通常是潜在的钓鱼受害者的最后一道防线-也不是完美的。

安全研究人员Rafay Baloch在一些使用最广泛的移动浏览器中发现了几个漏洞-包括苹果的Safari、Opera和Yandex-如果利用这些漏洞,攻击者可以诱使浏览器显示与用户实际所在网站不同的网址。这些地址栏欺骗漏洞使攻击者更容易让他们的钓鱼页面看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。

这些漏洞通过利用易受攻击的浏览器加载网页所需时间的弱点来工作。一旦受害者被诱骗打开钓鱼电子邮件或文本消息中的链接,恶意网页就会使用隐藏在页面上的代码将浏览器地址栏中的恶意网址有效地替换为攻击者选择的任何其他网址。

在至少一个案例中,易受攻击的浏览器保留了绿色挂锁图标,表明带有欺骗网址的恶意网页是合法的-而实际上是不合法的。

Rapid7的研究总监托德·比尔兹利(Tod Beardsley)帮助Baloch向每个浏览器制造商披露了这些漏洞,他表示,地址栏欺骗攻击将移动用户置于特别危险的境地。

“在移动设备上,空间是绝对重要的,所以每一英寸都很重要。因此,没有太多空间可用来放置安全信号和标志。“比尔兹利告诉TechCrunch。“在桌面浏览器上,您可以查看您所在的链接,将鼠标悬停在链接上以查看您要访问的位置,甚至可以单击锁以获取证书详细信息。这些额外的资源在移动设备上并不存在,所以地址栏不仅会告诉用户他们在哪个网站上,而且应该明确而确定地告诉用户这一点。如果你使用的是palpay.com,而不是预期的paypal.com,那么在输入密码之前,你可能会注意到这一点,并知道自己是在一个假网站上。

他说:“像这样的欺骗攻击会使位置栏变得模糊不清,从而让攻击者对他们的虚假网站产生一定的可信度和可信度。”

到目前为止,只有苹果和Yandex在9月和10月推出了修复程序。Opera发言人Julia Szyndzielorz表示,其Opera Touch和Opera Mini浏览器的修复程序正在“逐步推出”。

但UC浏览器、Bolt浏览器和RITS浏览器的制造商-它们总共安装了超过6亿台设备-没有回应研究人员,也没有修补漏洞。

TechCrunch联系了每一家浏览器制造商,但截至发布时,没有一家提供声明。