安全人员发现七款手机浏览器易遭地址栏欺骗攻击
虽然在桌面浏览器上有各种迹象和安全功能,可以用来检测恶意代码改变地址栏以显示假网址,但这在移动浏览器上是不可能的,因为移动浏览器的屏幕尺寸很重要,而且桌面浏览器中的许多安全功能都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线,地址栏欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。
在 *** 安全公司Rapid7今天发布的一份报告中,该公司表示,它与巴基斯坦安全研究人员Rafay Baloch合作,披露了七个移动浏览器应用中的十个新的地址栏欺骗漏洞。受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等大牌浏览器,也包括Bolt、RITS、UC浏览器和Yandex浏览器等小众应用。
这些问题在今年早些时候被发现,并在8月份向浏览器制造商报告。大厂商马上对这些问题进行了修补,而小厂商甚至懒得回复研究人员,使他们的浏览器容易受到攻击。Rapid7的研究总监Tod Beardsley说:”利用都归结为’JavaScript诡计'”。Rapid7的负责人表示,通过扰乱页面加载和浏览器有机会刷新地址栏URL之间的时间,恶意网站可以迫使浏览器显示错误的地址。
Beardsley认为,攻击很容易发动,建议用户尽快更新浏览器,或者转移到不受这些bug影响的浏览器上。
(消息来源:cnbeta;封面来自 *** )
“安全人员发现七款手机浏览器易遭地址栏欺骗攻击” 的相关文章
DLL 反制:安全研究人员提出阻止勒索软件加密文件的新策略
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...
跑分软件 UserBenchmark 被 23 款安全软件误标记为“恶意软件”
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内...
私钥失窃:慧与证实 Aruba Networks 客户数据泄露事件
作为慧与(HPE)的一家网络设备制造子公司,Aruba Networks 于早些时候发生了数据泄露事件。这家企业技术巨头在一份声明中称,未经授权者利用一把私钥,访问了存储于 Aruba Central 云端的客户数据。尽管未详细说明黑客是如何获取到私钥的,但 HPE 确认它可被用于访问存储客户数据的...
红十字国际委员会遭受网络攻击 超 51.5 万名“高危人群”的数据遭泄露
据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。 该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。 目前还不清楚谁是这次网络事件...
新加坡和美国将在网络安全方面进行更紧密的合作
据ZDNet报道,新加坡政府与美国政府签署了几份谅解备忘录,以扩大他们在国防、银行和研究与开发等领域的网络安全合作。这些活动包括增加信息共享、团队建设、培训和技能发展。 在美国副总统卡马拉·哈里斯为期三天的访问中的周一签署了三份谅解备忘录。其中一个是新加坡和美国网络安全和基础设施安全局之间的协议,...
发表评论
