和安卓生態(tài)系統(tǒng)相比,蘋果iOS一直被認為具有更高的安全性,安全成為重要賣點��。不過據(jù)外媒最新消息,安全業(yè)界人士曝光了蘋果和微軟瀏覽器中的一個危險漏洞����,某個合法網(wǎng)址的網(wǎng)頁可能是黑客修改之后的“李鬼網(wǎng)頁”,而時至今日蘋果仍然沒有發(fā)布安全補丁�����。
據(jù)英國科技新聞網(wǎng)站The Register報道�,近日網(wǎng)絡(luò)安全研究人員保羅(Rafay Baloch)對媒體稱,他發(fā)現(xiàn)了微軟Edge和蘋果Safari瀏覽器中的一個漏洞����,導致用戶可能在正常的網(wǎng)址下訪問到虛假網(wǎng)站內(nèi)容。
保羅表示����,到目前為止,微軟公司已經(jīng)針對Edge瀏覽器發(fā)布了安全補丁(代號CVE-2018-8383)��,修補了上述的漏洞����。但是蘋果得知漏洞信息已經(jīng)過去了幾個月�,但是尚未公布安全補丁�,換言之,全世界數(shù)億Safari瀏覽器用戶����,仍然面臨這一風險���。
保羅介紹說,微軟和蘋果瀏覽器中的漏洞提供了一種十分罕見的條件�����,這可以讓網(wǎng)絡(luò)黑客在實施攻擊時首先載入一個合法的網(wǎng)站�,這樣用戶在瀏覽器的地址欄中看到的是正規(guī)的網(wǎng)址�����。隨后����,黑客將會快速切換代碼,在不改變網(wǎng)址的情況下黑客能夠載入偽造的網(wǎng)頁內(nèi)容�。
這是一種極其危險的攻擊。比如網(wǎng)絡(luò)黑客可以偽造銀行或其他官方網(wǎng)站的登錄頁面�����,利用用戶輸入的信息獲取大量的賬號和密碼�����。
過去���,曾經(jīng)有一些網(wǎng)絡(luò)黑客故意制作虛假網(wǎng)站�,騙取用戶登錄信息�,但是這些網(wǎng)站并無法使用銀行等機構(gòu)的正式網(wǎng)址,一些瀏覽器也能夠?qū)倜肮俜綑C構(gòu)網(wǎng)址的虛假URL進行報警或提醒����。
在合法網(wǎng)址的掩蓋之下,一些用戶可能不會懷疑某個“李鬼網(wǎng)站”����。
據(jù)報道,保羅之前已經(jīng)公布了相關(guān)的視頻����,對相關(guān)的漏洞和攻擊方法進行了概念驗證��。
保羅介紹說�,由于微軟Edge瀏覽器和蘋果Safari瀏覽器均不是開放源代碼的軟件��,因此他個人并不清楚為何兩個瀏覽器都存在相同一個漏洞���。到目前為止�����,他并未在谷歌公司的Chrome瀏覽器以及Mozilla的火狐瀏覽器中發(fā)現(xiàn)這一漏洞���。
保羅表示,上述漏洞發(fā)生主要和瀏覽器顯示網(wǎng)址的工作機制有關(guān)系�����,不同的瀏覽器以不同的方式處理瀏覽和網(wǎng)址顯示�,在蘋果Safari和微軟Edge瀏覽器案例中,兩個瀏覽器都允許網(wǎng)頁在載入的過程中對代碼進行更新�����。
保羅提供了解決這一漏洞的一個辦法���,即在一個網(wǎng)頁完完全全被載入時���,瀏覽器應(yīng)該讓網(wǎng)址欄的信息進行再一次更新。
據(jù)報道�,雖然微軟和蘋果公司的兩大瀏覽器均出現(xiàn)了同一漏洞,但是雙方應(yīng)對漏洞的方式卻大相徑庭�。在獲得保羅報告之后,微軟公司的團隊已經(jīng)快速修補了漏洞���。
據(jù)稱���,保羅已經(jīng)在6月2日將Safari瀏覽器的漏洞報告給了蘋果公司,但是至今并未得到是否已經(jīng)修補了漏洞的消息��。
按照行業(yè)慣例���,在向相關(guān)的科技公司報告安全漏洞90天之后�����,保羅決定正式對外公開漏洞信息����,不過他仍然沒有公布有關(guān)發(fā)起攻擊的概念驗證代碼,他還在等待蘋果公司對Safari瀏覽器的漏洞進行修改���。
在過去幾年中�,蘋果公司的軟件開發(fā)質(zhì)量出現(xiàn)了下滑���,比如每一個iOS版本的推出將會伴隨著一些BUG的出現(xiàn)�����,多次的iOS升級甚至導致大量用戶的iPhone變成了“磚頭”��。在軟件安全漏洞方面��,蘋果也呈現(xiàn)出增加勢頭�����。
就在七月份�����,據(jù)外媒報道�,蘋果公司官方網(wǎng)站代碼以及一家手機保險公司網(wǎng)站漏洞,導致共有7200多萬蘋果手機用戶的密碼被泄露�。
鄂公網(wǎng)安備 42112402000149號