开源DuckDuckGo隐私浏览器安卓版5.26.0的安装量超过500万,通过利用地址栏欺骗漏洞攻击者很容易就开源发起针对app用户的URL欺骗攻击。安全研究人员Dhiraj Mishra将该漏洞详情报告给了厂商,该漏洞CVE编号为 CVE-2019-12329 。
研究人员在特别伪造的JS页面的帮助下证明了可以欺骗DuckDuckGo隐私浏览器的omnibar,该页面使用setInterval函数每10到50秒重加载URL一次。
因为真实的duckduckgo.com网站每50ms就自动加载一次,内部HTML被修改后展示的内容与Mishra博客的内容完全不同。
PoC
研究人员早在2018年10月31日就提交了该漏洞,但直到2019年5月27日才被告知并不是一个严重的问题。攻击者可以修改有漏洞的web浏览器的地址栏中展示的URL来引诱受害者认为他们访问的网站受控于可信的第三方。
但实际上该站点是被发起攻击的恶意攻击者控制的,攻击者滥用地址栏欺骗漏洞就会出现这样的情况。
DuckDuckGo omnibar欺骗攻击PoC
没有意识到危险的受害者就会被重定向到伪装为各种高知名度的站点,这些站点可以让攻击者通过钓鱼加载页面或通过垃圾广告活动在受害者机器上释放恶意软件的方式来窃取目标的信息。
在5月初,安全研究人员Arif Khan还发现了UC浏览器和UC浏览器Mini安卓版应用的URL地址欺骗攻击。URL地址栏欺骗是最恶劣的一种钓鱼攻击,因为这是唯一一种识别用户访问的站点的方式。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
