Аналитики компании Rapid7 и независимый ИБ-эксперт Рафай Балоч (Rafay Baloch) обнаружили, что семь популярных мобильных браузеров позволяют вредоносным сайтам изменять URL-адрес и показывать в адресной строке подделку.
В сущности, проблема спуфинга адресной строки существует столько же, сколько сам интернет. И хотя в современных десктопных браузерах присутствует множество защитных механизмов, которые позволяют без труда обнаружить поддельный URL-адрес, мобильные версии браузеров подобным похвастаться не могут. Дело в том, что на мобильных устройствах размер экрана имеет большое значение, и поэтому многими мерами безопасности здесь пришлось пренебречь.
Как было сказано выше, исследователи выяснили, что перед подобным спуфингом уязвимы семь мобильных браузеров. Это Apple Safari, Opera Touch и Opera Mini, Bolt, RITS, UC Browser, а также Яндекс.Браузер.
Исследователи объясняют, что обычно эксплуатация таких багов сводится к различным манипуляциям с JavaScript. К примеру, работая со временем, которое проходит между загрузкой страницы и тем моментом, когда браузер получает возможность обновить URL в адресной строке, вредоносный сайт может вынудить браузер отобразить неправильный адрес. Чаще всего, это будет URL некого легитимного сайта, за который мошенники пытаются выдать свой ресурс. Детальное описание всех найденных багов можно найти в блоге Балоча.
Уязвимости были выявлены летом текущего года, и исследователи уведомили разработчиков о проблемах в августе. Как видно в таблице ниже, крупные поставщики устранили уязвимости весьма оперативно, тогда как мелкие даже не потрудились ответить специалистам, не говоря уже о выпуске патчей.
Эксперты настоятельно рекомендуют пользователям обновить свои браузеры, а если патчей все еще нет, использовать другие, более безопасные приложения.