苹果Safari曝漏洞：银行官方URL可能是黑客李鬼网页

腾讯科技讯 和安卓生态系统相比，苹果iOS一直被认为具有更高的安全性，安全成为重要卖点。不过据外媒最新消息，安全业界人士曝光了苹果和微软浏览器中的一个危险漏洞，某个合法网址的网页可能是黑客修改之后的“李鬼网页”，而时至今日苹果仍然没有发布安全补丁。

据英国科技新闻网站The Register报道，近日网络安全研究人员保罗（Rafay Baloch）对媒体称，他发现了微软Edge和苹果Safari浏览器中的一个漏洞，导致用户可能在正常的网址下访问到虚假网站内容。

保罗表示，到目前为止，微软公司已经针对Edge浏览器发布了安全补丁（代号CVE-2018-8383），修补了上述的漏洞。但是苹果得知漏洞信息已经过去了几个月，但是尚未公布安全补丁，换言之，全世界数亿Safari浏览器用户，仍然面临这一风险。

保罗介绍说，微软和苹果浏览器中的漏洞提供了一种十分罕见的条件，这可以让网络黑客在实施攻击时首先载入一个合法的网站，这样用户在浏览器的地址栏中看到的是正规的网址。随后，黑客将会快速切换代码，在不改变网址的情况下黑客能够载入伪造的网页内容。

这是一种极其危险的攻击。比如网络黑客可以伪造银行或其他官方网站的登录页面，利用用户输入的信息获取大量的账号和密码。

过去，曾经有一些网络黑客故意制作虚假网站，骗取用户登录信息，但是这些网站并无法使用银行等机构的正式网址，一些浏览器也能够对假冒官方机构网址的虚假URL进行报警或提醒。

在合法网址的掩盖之下，一些用户可能不会怀疑某个“李鬼网站”。

据报道，保罗之前已经公布了相关的视频，对相关的漏洞和攻击方法进行了概念验证。

保罗介绍说，由于微软Edge浏览器和苹果Safari浏览器均不是开放源代码的软件，因此他个人并不清楚为何两个浏览器都存在相同一个漏洞。到目前为止，他并未在谷歌公司的Chrome浏览器以及Mozilla的火狐浏览器中发现这一漏洞。

保罗表示，上述漏洞发生主要和浏览器显示网址的工作机制有关系，不同的浏览器以不同的方式处理浏览和网址显示，在苹果Safari和微软Edge浏览器案例中，两个浏览器都允许网页在载入的过程中对代码进行更新。

保罗提供了解决这一漏洞的一个办法，即在一个网页完完全全被载入时，浏览器应该让网址栏的信息进行再一次更新。

据报道，虽然微软和苹果公司的两大浏览器均出现了同一漏洞，但是双方应对漏洞的方式却大相径庭。在获得保罗报告之后，微软公司的团队已经快速修补了漏洞。

据称，保罗已经在6月2日将Safari浏览器的漏洞报告给了苹果公司，但是至今并未得到是否已经修补了漏洞的消息。

按照行业惯例，在向相关的科技公司报告安全漏洞90天之后，保罗决定正式对外公开漏洞信息，不过他仍然没有公布有关发起攻击的概念验证代码，他还在等待苹果公司对Safari浏览器的漏洞进行修改。

在过去几年中，苹果公司的软件开发质量出现了下滑，比如每一个iOS版本的推出将会伴随着一些BUG的出现，多次的iOS升级甚至导致大量用户的iPhone变成了“砖头”。在软件安全漏洞方面，苹果也呈现出增加势头。

就在七月份，据外媒报道，苹果公司官方网站代码以及一家手机保险公司网站漏洞，导致共有7200多万苹果手机用户的密码被泄露。（综合/晨曦）