【ALENG 自媒體】4月30日午間專稿,作為全球使用人數最多的瀏覽器,Chrome已經佔據了瀏覽器市場67.88%的份額,如此誘人的市場佔有量,啟發了那些居心不良的黑客,使得他們將目光轉向Chrome瀏覽器,從而利用該瀏覽器不時出現的漏洞和Bug,來達到他們罪惡的目的。日前,Android版Chrome瀏覽器就再次曝出了一個嚴重的漏洞,通過該漏洞,黑客可以使用虛假的地址欄來欺騙用戶。
為了節約珍貴的屏幕資源,Android版Chrome瀏覽器的地址欄會自動隱藏,當你向下滾動屏幕,以便查看更多網頁信息的時候,地址欄就會自動隱藏,而當你向上滾動屏幕,試圖返回頁面頂端的時候,地址欄會再次自動出現,方便為你導航,這是為了節約有限的屏幕資源,給用戶良好瀏覽體驗的一個極其貼心的設計,但是該功能已經被黑客看中,他們利用瀏覽器的地址欄自動隱藏的時機,將一個虛假的欺騙網站顯示在地址欄,從而讓用戶不容易發覺自己實際上已經上當受騙。
值得稱奇的是,儘管這些虛假的網站會攔截用戶希望訪問的網站,但是它們仍然通過了Chrome瀏覽器的安全認證,會在地址欄最左邊顯示綠色的安全標誌,因此,用戶通常情況下根本無法察覺。
據發現該漏洞的軟件開發人員Jim Fisher介紹,雖然表面上看起來僅僅是地址欄顯示了一個虛假的網站,但是實際上用戶已經在一個虛假的頁面進行瀏覽,也就是說,黑客實際上做了一個虛假的框架,將用戶正在訪問的內容嵌套在其中,通過頁面上其他誘導性、欺騙性的導航,將用戶引向黑客希望去的地方,從而實現罪惡的目的。
居心叵測的黑客在瀏覽器上花了大量的精力,在此之前,甚至一些合法正規的網站,也會利用用戶對瀏覽器的信任,非法插入用戶不希望看到的內容。比如,在2018年早期的時候,一些合法網站利用用戶對瀏覽器後退按鈕的信任,將一些不存在的瀏覽記錄強行插入後退按鈕中,當用戶點擊後退按鈕,準備返回到上一個頁面時,會被導航到一個從來沒有瀏覽過的網頁,有時候甚至點擊好幾次後退按鈕都無法退出當前頁面。
對於利用地址欄自動隱藏功能欺騙用戶的行為,Jim Fisher說,有一個簡單的方法可以甄別:按下電源開關鎖定手機,然後再次解鎖,這時,Chrome就會顯示真正的地址欄,而那個虛假的欺騙地址欄也會同時出現在屏幕頂部。
Jim Fisher已經將給漏洞提交給了谷歌Chrome支持團隊。
相關推薦
