研究人员已经证明一个新的地址利用可以欺骗Safari用户,让他们认为他们在使用苹果自制的浏览器访问一个网站,实际上是在访问另一个完全不同的地址。
最近公布的概念型利用导致Safari地址栏中显示daily.co.uk,即使浏览器显示的内容是再来deusen.co.uk的。ios和osx上的攻击原理完全相同,恶意攻击者可能使用漏洞欺骗用户,让他们以为自己连接到了受信任的站点,而不是诱骗他们登录或安装恶意软件。在ipad mini上测试,地址栏定期刷新地址进行重载。该行为可能会让很多精明的用户感到不妥。尽管如此,许多用户根本没有发现刷新的不寻常。更重要的是,该刷新行为没有在MacBook Pro上进行人工实验。
Jeremiah Grossman,白帽子网络安全公司的CTO,他认为黑客非常聪明。基于对JavaScrip的快速分析,页面出现强制Safari访问dailymail的URL,然后反应到了用户界面。在页面加载之前,脚本会快速击中另一个url。
该漏洞在今年2月被发现,发现漏洞者是发现Internet Explorer版本补丁的漏洞会导致用户凭据出现危险的研究员。
最近公布的概念型利用导致Safari地址栏中显示daily.co.uk,即使浏览器显示的内容是再来deusen.co.uk的。ios和osx上的攻击原理完全相同,恶意攻击者可能使用漏洞欺骗用户,让他们以为自己连接到了受信任的站点,而不是诱骗他们登录或安装恶意软件。在ipad mini上测试,地址栏定期刷新地址进行重载。该行为可能会让很多精明的用户感到不妥。尽管如此,许多用户根本没有发现刷新的不寻常。更重要的是,该刷新行为没有在MacBook Pro上进行人工实验。
Jeremiah Grossman,白帽子网络安全公司的CTO,他认为黑客非常聪明。基于对JavaScrip的快速分析,页面出现强制Safari访问dailymail的URL,然后反应到了用户界面。在页面加载之前,脚本会快速击中另一个url。
该漏洞在今年2月被发现,发现漏洞者是发现Internet Explorer版本补丁的漏洞会导致用户凭据出现危险的研究员。
还没有评论,来说两句吧...