به گزارش آوای خزر، در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحهنمایش و عدم وجود برخی از ویژگیهای امنیتی، موجود نیست.
حملات ADDRESS BAR SPOOFING به مرورگرهای موبایلی شناسایی شده و در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای)، ۱۰ مورد از این آسیبپذیری که به وبسایت آلوده این امکان را میدهد تا URL جایگزینی را بهجای URL واقعی وبسایت به کاربر نمایش دهد، در هفت مرورگر موبایلی نامآشنا، از قبیل Apple Safari ، Opera Touch و Opera Mini و مرورگرهای دیگری مانند Bolt ، RITS ، UC Browser و Yandex Browser دیده میشود.
در اوایل سال جاری میلادی این موارد شناسایی و در ماه اگوست به سازندگان مرورگرها اعلان شد. سازندگان نامآشنا بهصورت آنی وصلههای لازم را ارائه دادند ولی سازندگان دیگر هیچ اقدامی در این خصوص انجام ندادند. در پیوست لیست آسیبپذیری جهت مطالعه بیشتر، آورده شده است.
منظور از آسیبپذیری ADDRESS BAR SPOOFING ضعفی در مرورگر است که به وبسایت آلوده این امکان را میدهد تا URL جایگزینی را به جای URL واقعی وبسایت به کاربر نمایش دهد. در مرورگرهای دسکتاپی چندین قابلیت و ویژگی برای شناسایی تغییرات در URL موجود است؛ اما این امکانات امنیتی در مرورگرهای موبایلی به دلیل اندازه کوچک صفحه نمایش و نبود برخی از ویژگی های امنیتی، موجود نیست.
بنا به مطالعات انجامشده میتوان نتیجه گرفت که این آسیبپذیری با ایجاد تداخل مابین زمان بارگذاری صفحه و زمان رفرش (Refresh) آدرس URL، منجربه نمایش آدرس اشتباه به کاربر میشود. بنابراین بهرهبرداری از این باگ، مستلزم استفاده کاربر از مرورگر منسوخشده و بازدید کاربر از سایت آلوده است. با توجه به این موارد میتوان نتیجه گرفت که اجرای این حملات بسیار ساده و راحت است. پس پیشنهاد میشود که کاربران هرچه سریعتر مرورگر خود را بهروزرسانی کرده یا از مرورگرهای فاقد این آسیبپذیری استفاده کنند./ایسنا
انتهای پیام/1005
