Safari地址栏欺骗漏洞被用于钓鱼及恶意软件攻击
研究人员已经证明一个新的地址利用可以欺骗Safari用户,让他们认为他们在使用苹果自制的浏览器访问一个网站,实际上是在访问另一个完全不同的地址。
最近公布的概念型利用导致Safari地址栏中显示daily.co.uk,即使浏览器显示的内容是再来deusen.co.uk的。ios 和osx上的攻击原理完全相同,恶意攻击者可能使用漏洞欺骗用户,让他们以为自己连接到了受信任的站点,而不是诱骗他们登录或安装恶意软件。
演示代码不是很完美。在ipad mini上测试,地址栏定期刷新地址进行重载。该行为可能会让很多精明的用户感到不妥。尽管如此,许多用户根本没有发现刷新的不寻常。更重要的是,该刷新行为没有在MacBook Pro上进行人工实验。
Jeremiah Grossman,白帽子网络安全公司的CTO,他认为黑客非常聪明。基于对JavaScrip的快速分析,页面出现强制Safari访问dailymail的URL,然后反应到了用户界面。在页面加载之前,脚本会快速击中另一个url。该脚本如下:
该漏洞在今年2月被发现,发现漏洞者是发现Internet Explorer版本补丁的漏洞会导致用户凭据出现危险的研究员。
1
2
3
4
5
6
7 |
<script> function f() { location= "dailymail.co.uk/home/index.htm…" +Math.random(); } setInterval( "f()" ,10); < /script > |
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 逐梦苍穹 习近平引领航天强国建设 4947568
- 2 夫妻养2.8万只鸡 为省人工自己捡蛋 4920776
- 3 职高女孩逆袭成双一流大学研究生 4894596
- 4 解码首季经济成绩单 4750918
- 5 女子火车上如厕时130g黄金掉落铁轨 4673147
- 6 华人夫妇日本遇害细节曝光 4500938
- 7 神十八点火瞬间航天员齐刷刷敬礼 4495904
- 8 本田将投110亿美元建厂 4353417
- 9 深圳部分区域将取消限购不实 4270480
- 10 阿根廷再次爆发大游行 4184605