安全研究员在 Safari 上找到了一个新漏洞,能让网站在浏览器的地址栏内将自己伪装成另一个网站 —— 得益于 Safari 地址栏的“智能缩略”功能。
在 Deusen 最近公开的攻击演示(PoC,Proof of Concept)中,他们在已经获取最近更新的 iOS 和 OS X 设备上将一个自建的伪造页面在地址栏里伪装成每日邮报。钓鱼网站或者诈骗者可以借用这种伪装方式骗取用户的账户密码等敏感信息。
根据 arstechnica 的测试,Deusen 提供的 demo 在 iPad 上能够明显感觉到页面加载后会有间断性的自刷新行为,但很多普通用户很可能无法察觉其中的异常。然而,在 OS X 环境中测试则不会有这种刷新“缺陷”存在。
根据 White Hat Security CTO Jeremiah Grossman 的分析,这种攻击方式的原理大致为:代码先指引 Safari 访问希望伪造的网址,当地址栏显示出对方域名后立刻改为加载自己的网站。代码如下:<script> function f() { location="dailymail.co.uk/home/index.htm…"+Math.random(); } setInterval("f()",10); </script>这个 bug 曾在今年二月被同一个安全研究员提交至 Internet Explorer。本消息由云木科技提供。