【IT专家网独家】安全专家近日研究发现了一种新的安全攻击方法,利用钓鱼网站引诱Google工具条用户在浏览器上增加恶意按钮。
安全研究人员Aviv Raff警告称,Google工具条上有一个对话框安全漏洞。恶意黑客利用这个安全漏洞能够远程执行恶意软件或者发动身份证盗窃攻击。
Raff是一位善于发现和报告软件漏洞的安全研究人员,他发现可以利用钓鱼网站引诱Google工具条用户在其工具条上增加恶意按钮。Raff同时表示,在安装了新的浏览器工具条标识/按钮之后,工具条将允许向用户显示欺骗性的信息。
这可以让攻击者说服用户相信他的按钮来自于一个可信赖的网站。然而,黑客可以利用这个按钮下载恶意程序或者进行钓鱼攻击。
IT专家网通过搜集信息表明 Google 浏览器工具条第五测试版中存在这个安全漏洞。Raff称,IE浏览器工具条第四版和用于火狐浏览器的Google工具条都受到这个安全漏洞的影响。Google在接到漏洞通知后正在制作这个安全漏洞的补丁。
Raff称,攻击者能够利用这个安全漏洞获得受害者的信任,以便增加和使用这个按钮。受害人会因此相信这个按钮提供的文件或者输入个人信息。在这个工具条新的测试版中,它还能几秒钟提醒用户一次点击这个工具条。
这位研究人员还发布了利用这个安全漏洞的概念证明代码,演示了一个特别制作的网页如何欺骗用户相信正在从Google网站下载的第三方工具条按钮。由于目前还没有修复这个漏洞的补丁,IT专家网建议谷歌工具条用户不要增加新的按钮。
IT专家网原创文章,未经许可,严禁转载!
