粉絲團
(圖/pixabay)
資安公司 Rapid7 釋出一份最新報告,解析於行動設備平台日益嚴重的「假網址」攻擊,並點名 7 款瀏覽器 App 最容易中招、缺乏防衛機制,甚至能看到蘋果的 Safari 與 Opera 等知名瀏覽器。
「假網址」攻擊手法主要透過 JavaScript 趁虛而入,打亂瀏覽器在頁面讀取、刷新網址列的時間,藉此讓釣魚網站顯示合法網址。相比電腦瀏覽器得以透過許多通知機制防範,手機受限於螢幕空間,用戶難以異狀,再加上生態差異使「假網址」近年盛起。
Rapid7 舉例,用戶可能會收到一則簡訊附上連結,告知付款有問題、請盡快查看,點擊後檢查網址與知名付費平台 PayPal 相同,沒有可疑的英文字母變形,網頁卻可能是釣魚,藉此騙取用戶的帳號資料。
要讓釣魚順利進行,主要有兩個條件,首先是過時的瀏覽器,其次則是得以執行 JavaScript 的網頁。Rapid7 就點名 7 款瀏覽器 App,在保護「假網址」攻擊上存在漏洞,包含 Safari、Opera Touch、Opera Mini、Bolt、RITS、UC Browser、Yandex Browser。
研究人員已通知各瀏覽器的開發商,其中 Safari、Opera、Bolt 皆有回應並推出版本更新修補,建議使用者確保更新,其餘 App 則沒有理會 Rapid7 的警告,或仍存在被攻擊的風險。
《你可能還想看...》
