蘋果Safari曝漏洞：銀行官方URL可能是黑客李鬼網頁

+ 查看更多

和安卓生態系統相比，蘋果iOS一直被認為具有更高的安全性，安全成為重要賣點。不過據外媒最新消息，安全業界人士曝光了蘋果和微軟瀏覽器中的一個危險漏洞，某個合法網址的網頁可能是黑客修改之后的“李鬼網頁”，而時至今日蘋果仍然沒有發布安全補丁。

據英國科技新聞網站The Register報道，近日網絡安全研究人員保羅（Rafay Baloch）對媒體稱，他發現了微軟Edge和蘋果Safari瀏覽器中的一個漏洞，導致用戶可能在正常的網址下訪問到虛假網站內容。

保羅表示，到目前為止，微軟公司已經針對Edge瀏覽器發布了安全補丁（代號CVE-2018-8383），修補了上述的漏洞。但是蘋果得知漏洞信息已經過去了幾個月，但是尚未公布安全補丁，換言之，全世界數億Safari瀏覽器用戶，仍然面臨這一風險。

保羅介紹說，微軟和蘋果瀏覽器中的漏洞提供了一種十分罕見的條件，這可以讓網絡黑客在實施攻擊時首先載入一個合法的網站，這樣用戶在瀏覽器的地址欄中看到的是正規的網址。隨后，黑客將會快速切換代碼，在不改變網址的情況下黑客能夠載入偽造的網頁內容。

這是一種極其危險的攻擊。比如網絡黑客可以偽造銀行或其他官方網站的登錄頁面，利用用戶輸入的信息獲取大量的賬號和密碼。

過去，曾經有一些網絡黑客故意制作虛假網站，騙取用戶登錄信息，但是這些網站并無法使用銀行等機構的正式網址，一些瀏覽器也能夠對假冒官方機構網址的虛假URL進行報警或提醒。

在合法網址的掩蓋之下，一些用戶可能不會懷疑某個“李鬼網站”。

據報道，保羅之前已經公布了相關的視頻（可在YouTube上找到），對相關的漏洞和攻擊方法進行了概念驗證。

保羅介紹說，由于微軟Edge瀏覽器和蘋果Safari瀏覽器均不是開放源代碼的軟件，因此他個人并不清楚為何兩個瀏覽器都存在相同一個漏洞。到目前為止，他并未在谷歌公司的Chrome瀏覽器以及Mozilla的火狐瀏覽器中發現這一漏洞。

保羅表示，上述漏洞發生主要和瀏覽器顯示網址的工作機制有關系，不同的瀏覽器以不同的方式處理瀏覽和網址顯示，在蘋果Safari和微軟Edge瀏覽器案例中，兩個瀏覽器都允許網頁在載入的過程中對代碼進行更新。

保羅提供了解決這一漏洞的一個辦法，即在一個網頁完完全全被載入時，瀏覽器應該讓網址欄的信息進行再一次更新。

據報道，雖然微軟和蘋果公司的兩大瀏覽器均出現了同一漏洞，但是雙方應對漏洞的方式卻大相徑庭。在獲得保羅報告之后，微軟公司的團隊已經快速修補了漏洞。

據稱，保羅已經在6月2日將Safari瀏覽器的漏洞報告給了蘋果公司，但是至今并未得到是否已經修補了漏洞的消息。

按照行業慣例，在向相關的科技公司報告安全漏洞90天之后，保羅決定正式對外公開漏洞信息，不過他仍然沒有公布有關發起攻擊的概念驗證代碼，他還在等待蘋果公司對Safari瀏覽器的漏洞進行修改。