IT業界資訊媒體

【愛你定害你】Android 瀏覽器漏洞 助黑客發動網址列詐騙攻擊

Android 用家要小心,近日多個瀏覽器都被發現有漏洞,俾黑客有機可乘,發動 URL Spoofing Attack(網址列詐騙攻擊),當中包括 UC 瀏覽器最新版本嘅 UC Browser 及 UC Browser Mini,連標榜可以隱藏身份上網嘅 DuckDuckGo 都出事,而漏洞成因竟然係為咗用家著想。

標榜可進行隱身搜尋嘅 DuckDuckGo 瀏覽器,最新版本 5.26.0 被研究員 Dhiraj Mishra 揭發漏洞,黑客可以發動 URL Spoofing Attack,喺網址列顯示虛假連結,令用家以為去緊官網。而喺較早前,研究員 Arif Khan 亦發現最新版本嘅UC Browser(12.11.2.1184版本) 及 UC Browser Mini(12.10.1.1192 版本)同樣有 URL Spoofing Attack 漏洞,而最頭痛嘅係,就算研究員向開發者舉報咗有關漏洞,兩間公司都係懶懶閒無打算修補漏洞。

所謂 URL Spoofing Attack ,係指黑客可以喺網址列顯示一條虛假連結,令目標人物以為自己睇緊官網,從而盜取對方個人私隱或安裝惡意軟件嘅攻擊方式。Android 版本嘅 DuckDuckGo 及 UC Browser 之所以有咁嘅漏洞,其原意係想為用家帶嚟最佳上網體驗,唔想喺網址列顯示太多搜尋內容或編碼,而只係顯示搜尋字眼,所以當瀏覽器偵測到喺網址列輸入嘅文字頭一截係 www[.]google[.]com ,喺搜尋結果版面嘅網址列就只會顯示餘下嘅文字,以輸入 www[.]google[.]com[.]blogspot[.]com/=?www[.]facebook[.]com 為例,到其時網址列就只會顯示 www[.]facebook[.]com。如果黑客將版面整到好似 Facebook,就會令用家以為睇緊 Facebook 官網,成為網址列詐騙攻擊嘅受害者。

雖然開發商嘅出發點係好,用簡潔精美方法嚟顯示一啲搜索資訊,但由於用家好多時都要靠睇網址列嚟分辨係咪釣魚網站,呢個重視用家體驗嘅做法反而會引起網絡安全問題,而 Android 版本嘅 DuckDuckGo 加埋 UC Browser 嘅下載量高達 6.5 億,影響真係可以好大㗎。

資料來源:https://bit.ly/2JqrAVBhttps://bit.ly/2JNTR9w

相關文章:【好心做壞事】Google Chrome 網址列體貼功能驚現欺詐門路