雖然在桌面瀏覽器上有各種防護技術，可以用來檢測惡意代碼，改變地址欄顯示假的網址，但這在移動瀏覽器上是不可能的，因為移動瀏覽器的屏幕尺寸，以及桌面瀏覽器中的許多安全功能在移動瀏覽器上都不存在。由于地址欄是移動瀏覽器上唯一也是最后一道防線，URL欺騙漏洞在智能手機和其他移動設備上的危險性要高出許多倍。

網絡安全研究人員Rafay Baloch最近披露了有關URL欺騙漏洞的詳細信息，該漏洞影響多個移動瀏覽器（例如Apple Safari和Opera Touch），為魚叉式網絡釣魚攻擊和傳播惡意軟件打開了大門。其他受影響的瀏覽器包括UC瀏覽器，Yandex瀏覽器，Bolt瀏覽器和RITS瀏覽器。

到目前為止，只有Apple和Yandex在9月和10月推出了修復程序。UC和Bolt Browser尚未修復，而Opera Mini預計將于2020年11月11日修復。

這些漏洞主要是利用瀏覽器加載頁面所需要的時間間隙期起作用的。一旦誘騙受害者打開網絡釣魚電子郵件或短信的鏈接，惡意網頁就會使用該網頁上隱藏的代碼，將瀏覽器地址欄中的惡意網址有效替換為攻擊者選擇的任何其他網址。

原始PoC演示

“該漏洞的發生是由于在任意端口上請求時Safari保留URL的地址欄，設置間隔功能每2毫秒重新加載bing.com:8080，因此用戶無法識別從原始URL到欺騙性URL的重定向。”Rafay Baloch在技術分析中說道。“默認情況下，使此漏洞在Safari中更有效的原因是，直到通過光標設置焦點后，才會在URL中顯示端口號。”

換句話說。攻擊者可能會建立一個惡意網站，并誘使目標從欺騙性電子郵件或短信中打開鏈接，從而導致毫無戒心的收件人下載惡意軟件或冒著被竊取憑據的風險。

研究還發現，macOS版本的Safari容易受到同一漏洞的影響，據Rapid7稱，上周發布的Big Sur macOS更新中已解決了該漏洞。

這不是第一次在Safari中發現此漏洞。早在2018年，Baloch披露了一種類似的URL欺騙漏洞，該漏洞導致瀏覽器保留了地址欄并通過JavaScript引起的定時延遲從欺騙頁面加載內容。

Baloch說：“隨著魚叉式網絡釣魚攻擊的復雜性日益提高，利用基于URL欺騙漏洞可能會加劇魚叉式網絡釣魚攻擊的成功，因此被證明是致命的。”

“首先，當地址欄指向受信任的網站并且不提供任何偽造的指標時，很容易竊取憑據或分發惡意軟件，其次，由于該漏洞利用了瀏覽器中的特定功能，因此可以規避多種反網絡釣魚方案和解決方案。”

此外，攻擊很容易發動，建議用戶盡快更新瀏覽器，或者轉移到不受這些bug影響的瀏覽器上。

參考鏈接：https://thehackernews.com/2020/10/browser-address-spoofing-vulnerability.html

題圖來源：由Markus Winkler在Pixabay上發布 

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:thehackernews.com

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明