虽然在桌面浏览器上有各种防护技术,可以用来检测恶意代码,改变地址栏显示假的网址,但这在移动浏览器上是不可能的,因为移动浏览器的屏幕尺寸,以及桌面浏览器中的许多安全功能在移动浏览器上都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线,URL欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。
网络安全研究人员Rafay Baloch最近披露了有关URL欺骗漏洞的详细信息,该漏洞影响多个移动浏览器(例如Apple Safari和Opera Touch),为鱼叉式网络钓鱼攻击和传播恶意软件打开了大门。其他受影响的浏览器包括UC浏览器,Yandex浏览器,Bolt浏览器和RITS浏览器。
到目前为止,只有Apple和Yandex在9月和10月推出了修复程序。UC和Bolt Browser尚未修复,而Opera Mini预计将于2020年11月11日修复。
这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接,恶意网页就会使用该网页上隐藏的代码,将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。
原始PoC演示
“该漏洞的发生是由于在任意端口上请求时Safari保留URL的地址栏,设置间隔功能每2毫秒重新加载bing.com:8080,因此用户无法识别从原始URL到欺骗性URL的重定向。”Rafay Baloch在技术分析中说道。“默认情况下,使此漏洞在Safari中更有效的原因是,直到通过光标设置焦点后,才会在URL中显示端口号。”
换句话说。攻击者可能会建立一个恶意网站,并诱使目标从欺骗性电子邮件或短信中打开链接,从而导致毫无戒心的收件人下载恶意软件或冒着被窃取凭据的风险。
研究还发现,macOS版本的Safari容易受到同一漏洞的影响,据Rapid7称,上周发布的Big Sur macOS更新中已解决了该漏洞。
这不是第一次在Safari中发现此漏洞。早在2018年,Baloch披露了一种类似的URL欺骗漏洞,该漏洞导致浏览器保留了地址栏并通过JavaScript引起的定时延迟从欺骗页面加载内容。
Baloch说:“随着鱼叉式网络钓鱼攻击的复杂性日益提高,利用基于URL欺骗漏洞可能会加剧鱼叉式网络钓鱼攻击的成功,因此被证明是致命的。”
“首先,当地址栏指向受信任的网站并且不提供任何伪造的指标时,很容易窃取凭据或分发恶意软件,其次,由于该漏洞利用了浏览器中的特定功能,因此可以规避多种反网络钓鱼方案和解决方案。”
此外,攻击很容易发动,建议用户尽快更新浏览器,或者转移到不受这些bug影响的浏览器上。
参考链接:https://thehackernews.com/2020/10/browser-address-spoofing-vulnerability.html
题图来源:由Markus Winkler在Pixabay上发布
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:thehackernews.com
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照