Apple，Opera和Yandex修复了浏览器地址栏欺骗错误，但仍有数百万漏洞仍然存在

年复一年，网络钓鱼仍然是攻击者窃取密码的最流行和有效的方法之一。作为用户，我们大多受过训练以发现钓鱼网站的迹象，但我们大多数人依靠仔细检查浏览器地址栏中的网址来确保该网站合法。

但是，即使浏览器的反网络钓鱼功能（通常是可能成为网络钓鱼受害者的最后一道防线）也并不完美。

安全研究员Rafay Baloch在某些使用最广泛的移动浏览器（包括Apple的Safari，Opera和Yandex）中发现了几个漏洞，如果利用这些漏洞，攻击者将能够诱骗浏览器显示与用户实际网站不同的网址。开启。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站，从而为试图窃取密码的人创造了完美的条件。

这些漏洞通过利用脆弱的浏览器加载网页所需的时间漏洞而起作用。一旦诱骗受害者打开了网络钓鱼电子邮件或短信的链接，恶意网页就会使用页面上隐藏的代码将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。

至少在一种情况下，易受攻击的浏览器保留了绿色的挂锁图标，指示带有欺骗性网址的恶意网页是合法的-否则为非法。

Rapid7的研究主管Tod Beardsley帮助Baloch向每个浏览器制造商披露了漏洞，他说地址栏欺骗攻击使移动用户面临特别的风险。

“在移动设备上，空间是绝对溢价的，因此每一分之一英寸都很重要。结果，没有足够的空间来放置安全信号和信号，” Beardsley告诉TechCrunch。“在台式机浏览器上，您既可以查看自己所处的链接，也可以将鼠标悬停在链接上以查看行进路线，甚至可以单击锁来获取证书详细信息。这些额外的资源实际上并没有在移动设备上存在，因此，位置栏不仅会告诉用户他们正在哪个网站，而且还可以明确地并确定地告诉用户。如果您未按palpay.com预期进行操作paypal.com，则可能会注意到这一点，并在输入密码之前知道自己在假网站上。”

他说：“这样的欺骗攻击使位置栏变得模棱两可，从而使攻击者对其假站点产生了一定的信任感和信任度。”

Baloch and Beardsley说，浏览器制造商的回答好坏参半。

到目前为止，只有Apple和Yandex在9月和10月推出了修复程序。Opera发言人Julia Szyndzielorz表示，其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。

但是UC浏览器，螺栓浏览器和RITS浏览器的制造商（总共安装了超过6亿个设备）没有对研究人员做出回应，并没有修补漏洞。

与每个浏览器制造商联系，但在发布之时，没有一家提供声明。