【ALENG 自媒体】4月30日午间专稿,作为全球使用人数最多的浏览器,Chrome已经占据了浏览器市场67.88%的份额,如此诱人的市场占有量,启发了那些居心不良的黑客,使得他们将目光转向Chrome浏览器,从而利用该浏览器不时出现的漏洞和Bug,来达到他们罪恶的目的。日前,Android版Chrome浏览器就再次曝出了一个严重的漏洞,通过该漏洞,黑客可以使用虚假的地址栏来欺骗用户。
为了节约珍贵的屏幕资源,Android版Chrome浏览器的地址栏会自动隐藏,当你向下滚动屏幕,以便查看更多网页信息的时候,地址栏就会自动隐藏,而当你向上滚动屏幕,试图返回页面顶端的时候,地址栏会再次自动出现,方便为你导航,这是为了节约有限的屏幕资源,给用户良好浏览体验的一个极其贴心的设计,但是该功能已经被黑客看中,他们利用浏览器的地址栏自动隐藏的时机,将一个虚假的欺骗网站显示在地址栏,从而让用户不容易发觉自己实际上已经上当受骗。
值得称奇的是,尽管这些虚假的网站会拦截用户希望访问的网站,但是它们仍然通过了Chrome浏览器的安全认证,会在地址栏最左边显示绿色的安全标志,因此,用户通常情况下根本无法察觉。
据发现该漏洞的软件开发人员Jim Fisher介绍,虽然表面上看起来仅仅是地址栏显示了一个虚假的网站,但是实际上用户已经在一个虚假的页面进行浏览,也就是说,黑客实际上做了一个虚假的框架,将用户正在访问的内容嵌套在其中,通过页面上其他诱导性、欺骗性的导航,将用户引向黑客希望去的地方,从而实现罪恶的目的。
居心叵测的黑客在浏览器上花了大量的精力,在此之前,甚至一些合法正规的网站,也会利用用户对浏览器的信任,非法插入用户不希望看到的内容。比如,在2018年早期的时候,一些合法网站利用用户对浏览器后退按钮的信任,将一些不存在的浏览记录强行插入后退按钮中,当用户点击后退按钮,准备返回到上一个页面时,会被导航到一个从来没有浏览过的网页,有时候甚至点击好几次后退按钮都无法退出当前页面。
对于利用地址栏自动隐藏功能欺骗用户的行为,Jim Fisher说,有一个简单的方法可以甄别:按下电源开关锁定手机,然后再次解锁,这时,Chrome就会显示真正的地址栏,而那个虚假的欺骗地址栏也会同时出现在屏幕顶部。
Jim Fisher已经将给漏洞提交给了谷歌Chrome支持团队。
