Browsing: Opera

    今時今日,絕大部分人上網都是用智能手機,但網絡安全公司Rapid 7研究員就發現,Safari、Opera等7款手機版瀏覽器存在極大漏洞,可讓黑客在網址列偽造網頁連結,令用家誤以為自己正在訪問官方網站,實情卻被引導至釣魚網站上,不自覺地親手將帳戶登入資料雙手奉上…… 為確保用家可以安全地瀏覽不同網站,瀏覽器服務供應商如Google、Mozilla、Apple等都會為產品加入各種反偽造網站的識別技術,例如在網址列加入鎖頭圖標,讓用家可以一眼辨識自己有否跌入釣魚網站圈套。不過,Rapid7研究員指這些安全技術卻有可能因為手機屏幕較細,而被部分瀏覽器取消,從而讓黑客有可乘之機。研究員於是檢視了市面上各種手機瀏覽器,最終發現Safari、OperaTouch、Opera Mini、UC Browser、RITS、Yandex及Bolt等7 款瀏覽器,均存有JavaScript詭計漏洞,因本身設計的問題,令黑客可操控網址列上出現的網址,但實際上卻將用家引導了偽造網站,而由於沒有鎖頭安全圖標輔助,用家便無法得知已跌入陷阱,成功達到網址列欺詐(Address Bar Spoofing)攻擊。 研究員以手機版Safari為例,由於在設計上系統會保留任意port上呼叫的網址在網址列上,只要黑客在網頁JavaScript程式碼內將setInterval時間改為每2毫秒便載入新的網頁內容,便可透過時間差,在網址列仍顯示原網址的情況下,極速將用家引導至其他偽造網站,以時間差令用家上當。研究員指出如偽造網站製作得跟官方網站一模一樣,用家便會傾向相信自己正在訪問官方網站一樣,從而輸入自己的帳戶登入資料。 除了Safari,其他6款瀏覽器亦存在類似問題,Rapid7研究員在今年8月發現這漏洞後,已去信通知受影響的瀏覽器供應商,不過,除了Apple已修補了Safari的漏洞,Opera承諾會在11月推出修補檔外,其他4款瀏覽器供應商卻未有回覆,相信未必會在短時間內修補上述問題。現階段用家就要小心使用這些瀏覽器,建議用家最好避免使用。 資料來源:https://bit.ly/2TfyS22

    係囉,錯就要認,知錯就改,咁就抵讚!密碼管理工具 LastPass 被發現有漏洞,用戶有可能俾黑客盜取最近一次嘅登入憑證。LastPass 收到通知,立即回應,火速修復,抵讚! 密碼管理工具絕對係現代人嘅必備,全靠佢,先可以應付日常海量密碼登入帳號之苦。事關網絡安全專家建議大家唔好重用密碼,以免其中一個帳戶嘅登入資料被盜取,就會波及其他帳戶。不過一個正常人又點記得咁多複雜密碼?為免大家被密碼折磨,網上就出現咗好多密碼管理工具,而 LastPass 就係最受歡迎嘅工具之一。較早前,Google 嘅網絡安全工程師 Tavis Ormandy 發現 LastPass 有一個漏洞,黑客可以利用一個有效嘅 clickjacking 手法,引導用戶利用 LastPass 登入個人帳戶,然後轉移到惡意網站,截取資料。 雖然此漏洞只出現於 Google Chrome 及…