我们知道钓鱼攻击通常用伪造网页的形式完成,而最好的鉴别办法就是地址栏上的网页地址,最近安全研究人员Nitesh Dhanjani在博客中表示,苹果iOS系统的Safari浏览器在设计时没有考虑到这一点。我们知道移动版Safari浏览器在向上滚动的时候会自动隐藏地址栏以实现更大的显示面积,但只要恶意攻击者在网页上伪造一个地址栏,就可以轻松骗过用户,如图:
此图显示,用户向上滚动页面后,隐藏的地址栏正好给伪造的地址栏发挥的机会,让人误以为进入了正确的网站。Dhanjani表示,他曾经提醒苹果公司的安全小组成员相关问题,但他们表示不太可能在短期内作出改变。
