在移动版的Chrome浏览器中,当用户向下滚动时,浏览器会自动隐藏URL栏,将URL栏占用的屏幕空间还给网页。大多数用户在想要判断自己正访问的网址时,会第一时间查看URL栏。因此,浏览器的URL栏也成了钓鱼攻击的重点部位。研究人员发现了一种伪造“URL栏”的方法——利用Inception Bar。
通常,当用户在Chrome浏览器中下滑时,浏览器会重新显示真实的URL栏,而非一直隐藏。但是,研究人员发现了一种方式,能够欺骗Chrome,让其永远不会显示真实的URL栏。一旦Chrome隐藏了URL栏,页面的内容就被“囚禁”在了一个名为“scroll jail”的区域——研究人员利用了overflow:scroll属性。当用户上下滑动时,会误以为他们是在当前页面中向上滚动,但事实上,他们只是在研究人员设置的“scroll jail”中滑动。这种体验就如同在梦中一样,用户会误以为自己在浏览器中,但实际上他们只是在浏览器的一个区块中。
那么,这是否是一个严重的安全漏洞呢?是的。因为就连安全人员也很难第一时间识破这种钓鱼网站,更不用说对网络安全知识一无所知的普通用户了。这种网站对用户的戒心打击可以说是非常致命的。
那么,我们该如何防御这种攻击呢?我们认为这是Chrome浏览器的问题。因为正是Chrome隐藏URL栏的逻辑让黑客有了可乘之机。当然,我们也完全理解谷歌想要节约页面空间的做法。目前,我们觉得最好的解决方法是,在Chrome隐藏URL栏时,向用户发出提示,告知他们“URL栏当前已隐藏”。这样,用户就能更好地保护自己的网络安全,免受钓鱼攻击的影响。
