对移动浏览器的地址栏欺骗攻击卷土重来:为恶意攻击敞开大门为叉形网络钓鱼攻击和传播恶意软件敞开大门。真假地址栏图形真假难辨。其他受影响的浏览器包括UC网页、Yandex浏览器、Bolt浏览器和RITS浏览器。这些漏洞由巴基斯坦安全研究员RafayBaloch于2020年夏季发现,并于8月由Baloch和网络安全公司Rapid7联合报告,之后浏览器供应商在过去几周内解决了这些漏洞。UCWeb、Bolt浏览器暂未打补丁,OperaMini预计2020年11月11日打补丁加载并重定向到攻击者选择的另一个地址。最初的PoCdemoRafayBaloch在技术分析中表示:“这个漏洞是由于Safari保存了URL的地址栏。当通过任何端口请求时,设置的间隔函数将每2毫秒重新加载bing.com:8080,因此用户无法识别从原始URL到欺骗URL的强制重定向。”“默认情况下,除非通过光标设置焦点,否则Safari不会在URL中显示端口号,这使得这种利用在Safari中更加有效。”换句话说,攻击者可以建立一个恶意网站,诱使目标打开来自欺骗性电子邮件或短信的链接,导致毫无戒心的收件人下载恶意软件,或者冒着凭证被盗的风险。研究还发现,macOS版本的Safari浏览器也存在同样的漏洞,据Rapid7称,该漏洞已在上周发布的一次重大更新中得到修复。这不是第一次在Safari中发现这样的错误。早在2018年,Baloch就披露了一个类似的地址栏欺骗漏洞,该漏洞导致浏览器保留地址栏并从具有javascript引起的延迟的欺骗页面加载内容。“随着鱼叉式网络钓鱼攻击变得越来越复杂,利用基于浏览器的漏洞,例如地址栏欺骗,可能会加剧鱼叉式网络钓鱼攻击的成功并证明是致命的,”Baloch说。“首先,当地址栏指向一个值得信赖的网站,并且没有伪造的迹象时,很容易说服受害者窃取凭据或分发恶意软件。其次,由于该漏洞利用了浏览器的特定功能,因此可以规避多种反钓鱼方案和解决方案。“
