和安卓生態(tài)系統(tǒng)相比,蘋果iOS一直被認(rèn)為具有更高的安全性,安全成為重要賣點(diǎn)����。不過據(jù)外媒最新消息,安全業(yè)界人士曝光了蘋果和微軟瀏覽器中的一個(gè)危險(xiǎn)漏洞�,某個(gè)合法網(wǎng)址的網(wǎng)頁(yè)可能是黑客修改之后的“李鬼網(wǎng)頁(yè)”���,而時(shí)至今日蘋果仍然沒有發(fā)布安全補(bǔ)丁���。
據(jù)英國(guó)科技新聞網(wǎng)站The Register報(bào)道��,近日網(wǎng)絡(luò)安全研究人員保羅(Rafay Baloch)對(duì)媒體稱��,他發(fā)現(xiàn)了微軟Edge和蘋果Safari瀏覽器中的一個(gè)漏洞,導(dǎo)致用戶可能在正常的網(wǎng)址下訪問到虛假網(wǎng)站內(nèi)容����。
保羅表示�����,到目前為止���,微軟公司已經(jīng)針對(duì)Edge瀏覽器發(fā)布了安全補(bǔ)丁(代號(hào)CVE-2018-8383),修補(bǔ)了上述的漏洞�。但是蘋果得知漏洞信息已經(jīng)過去了幾個(gè)月,但是尚未公布安全補(bǔ)丁,換言之�����,全世界數(shù)億Safari瀏覽器用戶����,仍然面臨這一風(fēng)險(xiǎn)��。
保羅介紹說��,微軟和蘋果瀏覽器中的漏洞提供了一種十分罕見的條件���,這可以讓網(wǎng)絡(luò)黑客在實(shí)施攻擊時(shí)首先載入一個(gè)合法的網(wǎng)站���,這樣用戶在瀏覽器的地址欄中看到的是正規(guī)的網(wǎng)址�����。隨后����,黑客將會(huì)快速切換代碼,在不改變網(wǎng)址的情況下黑客能夠載入偽造的網(wǎng)頁(yè)內(nèi)容����。
這是一種極其危險(xiǎn)的攻擊�����。比如網(wǎng)絡(luò)黑客可以偽造銀行或其他官方網(wǎng)站的登錄頁(yè)面��,利用用戶輸入的信息獲取大量的賬號(hào)和密碼。
過去,曾經(jīng)有一些網(wǎng)絡(luò)黑客故意制作虛假網(wǎng)站�����,騙取用戶登錄信息����,但是這些網(wǎng)站并無法使用銀行等機(jī)構(gòu)的正式網(wǎng)址��,一些瀏覽器也能夠?qū)倜肮俜綑C(jī)構(gòu)網(wǎng)址的虛假URL進(jìn)行報(bào)警或提醒。
在合法網(wǎng)址的掩蓋之下�,一些用戶可能不會(huì)懷疑某個(gè)“李鬼網(wǎng)站”����。
據(jù)報(bào)道����,保羅之前已經(jīng)公布了相關(guān)的視頻,對(duì)相關(guān)的漏洞和攻擊方法進(jìn)行了概念驗(yàn)證�����。
保羅介紹說�����,由于微軟Edge瀏覽器和蘋果Safari瀏覽器均不是開放源代碼的軟件,因此他個(gè)人并不清楚為何兩個(gè)瀏覽器都存在相同一個(gè)漏洞����。到目前為止��,他并未在谷歌公司的Chrome瀏覽器以及Mozilla的火狐瀏覽器中發(fā)現(xiàn)這一漏洞。
保羅表示����,上述漏洞發(fā)生主要和瀏覽器顯示網(wǎng)址的工作機(jī)制有關(guān)系����,不同的瀏覽器以不同的方式處理瀏覽和網(wǎng)址顯示��,在蘋果Safari和微軟Edge瀏覽器案例中��,兩個(gè)瀏覽器都允許網(wǎng)頁(yè)在載入的過程中對(duì)代碼進(jìn)行更新。
保羅提供了解決這一漏洞的一個(gè)辦法���,即在一個(gè)網(wǎng)頁(yè)完完全全被載入時(shí)�,瀏覽器應(yīng)該讓網(wǎng)址欄的信息進(jìn)行再一次更新����。
據(jù)報(bào)道�,雖然微軟和蘋果公司的兩大瀏覽器均出現(xiàn)了同一漏洞,但是雙方應(yīng)對(duì)漏洞的方式卻大相徑庭���。在獲得保羅報(bào)告之后�,微軟公司的團(tuán)隊(duì)已經(jīng)快速修補(bǔ)了漏洞。
據(jù)稱�����,保羅已經(jīng)在6月2日將Safari瀏覽器的漏洞報(bào)告給了蘋果公司,但是至今并未得到是否已經(jīng)修補(bǔ)了漏洞的消息�。
按照行業(yè)慣例,在向相關(guān)的科技公司報(bào)告安全漏洞90天之后��,保羅決定正式對(duì)外公開漏洞信息�,不過他仍然沒有公布有關(guān)發(fā)起攻擊的概念驗(yàn)證代碼��,他還在等待蘋果公司對(duì)Safari瀏覽器的漏洞進(jìn)行修改。
在過去幾年中���,蘋果公司的軟件開發(fā)質(zhì)量出現(xiàn)了下滑��,比如每一個(gè)iOS版本的推出將會(huì)伴隨著一些BUG的出現(xiàn)�,多次的iOS升級(jí)甚至導(dǎo)致大量用戶的iPhone變成了“磚頭”���。在軟件安全漏洞方面�,蘋果也呈現(xiàn)出增加勢(shì)頭���。
就在七月份���,據(jù)外媒報(bào)道,蘋果公司官方網(wǎng)站代碼以及一家手機(jī)保險(xiǎn)公司網(wǎng)站漏洞�,導(dǎo)致共有7200多萬蘋果手機(jī)用戶的密碼被泄露。
鄂公網(wǎng)安備 42112402000149號(hào)