Rapid7安全研究人员本周披露包括苹果Safari、Opera等7个手机版浏览器存在漏洞,恐让用户在不知情下连向恶意网站。
为了确保用户连上的网站是真实,而非钓渔网站或其他恶意网站,包括Google、Mozilla、苹果等企业会在浏览器中加入识别体系,像是在网址列加入延伸验证(extended validation,EV)的锁头图标来证明网站的真实性。但是碍于手机屏幕有限的面积,这些设计会从手机版浏览器拿掉。而这也给了恶意人士上下其手的空间。
巴基斯坦研究人员Rafa Baloch等人,曾经披露Safari、微软Edge手机版出现的网址列欺骗(Address Bar Spoofing)漏洞。这类漏洞主要是利用手机版浏览器无法显示真伪的缺点,将用户导向恶意网站。
安全厂商Rapid7近日又和Baloch合作,披露新一波发现的网址列欺骗漏洞。所有漏洞的攻击都是一种“Javascript诡计”(Javascript shenanigan),即攻击者利用网页加载和浏览器更新网址的时间差,引发来自恶意网站的跳出窗口,或是在浏览器中加载恶意网站的内容。
他们查看过有漏洞的浏览器包括Apple Safari、Opera Touch和Opera Mini,以及较小的浏览器如Bolt、RITS、UC Browser和Yandex。其中,Safari的漏洞出在它会保留任意port上调用的网页URL网址,但Javascript setInterval函数每2毫秒重新加载不同port的网页内容,中间的时间差令用户无法识别原本的URL已经导向假URL。而Safari默认不显示URL port number也让漏洞攻击更有效。该漏洞存在iOS及Android版Safari。Opera Mini iOS及Android UC Browser也有类似漏洞。
研究人员8月通报上述企业,其中苹果和Opera等大型厂商已经迅速修补,但仍有一家公司返回应都没。
研究人员并提醒,这类攻击不会出现在管理良好,做好Javascript诡计防护的网站如脸书、Reddit、Twitter,但攻击者会设立有恶意Javascript的网站,并以消息或钓鱼信件将连接传给用户。另一条件是浏览器有漏洞而未修补。因此防范这类攻击最好的方法,是更新浏览器到最新版,以及小心来路不明的网站连接。