安全研究員在 Safari 上找到了一個新漏洞���,能讓網站在瀏覽器的地址欄內將自己偽裝成另一個網站 —— 得益于 Safari 地址欄的“智能縮略”功能���。
在 Deusen 最近公開的攻擊演示(PoC����,Proof of Concept)中�����,他們在已經獲取最近更新的 iOS 和 OS X 設備上將一個自建的偽造頁面在地址欄里偽裝成每日郵報���。釣魚網站或者詐騙者可以借用這種偽裝方式騙取用戶的賬戶密碼等敏感信息��。
根據 arstechnica 的測試,Deusen 提供的 demo 在 iPad 上能夠明顯感覺到頁面加載后會有間斷性的自刷新行為,但很多普通用戶很可能無法察覺其中的異常。然而���,在 OS X 環境中測試則不會有這種刷新“缺陷”存在。
根據 White Hat Security CTO Jeremiah Grossman 的分析,這種攻擊方式的原理大致為:代碼先指引 Safari 訪問希望偽造的網址�����,當地址欄顯示出對方域名后立刻改為加載自己的網站�����。代碼如下:<script> function f() { location="dailymail.co.uk/home/index.htm…"+Math.random(); } setInterval("f()",10); </script>這個 bug 曾在今年二月被同一個安全研究員提交至 Internet Explorer���。本消息由云木科技提供。
川公網安備 51010602000772號