如果您拥有三星智能手机,请检查内置浏览器 - Samsung Internet - 是否已正确更新。如果该软件的版本低于或等于 5.4.02.3,则很容易受到严重缺陷的影响,黑客可能会窃取您的密码、cookie 甚至会话 ID。这个缺陷是由 Mishra Dhiraj 发现的,他在一篇文章中描述了它博客文章。它可以绕过所谓的“同源策略”原则,该原则禁止一个网页访问另一个网页的变量和脚本。
黑客在网上发布了一段视频,展示了这次攻击。用户打开一个诱杀页面,该页面将用户重定向到 Google 网站,同时打开弹出窗口输入凭据。如果用户遵守,这些凭据将被传输到受困页面,而不是像人们想象的那样传输到 Google。
Mishra Dhiraj 去年 9 月发现了这个缺陷,并立即联系了三星。制造商向他保证,这个漏洞将在 10 月份得到纠正。因此,当前版本的 Samsung Internet 不受影响。
不能掉以轻心,因为这个缺陷已经被以模块 Metasploit,一个软件平台,允许安全研究人员进行渗透测试……并允许黑客发起攻击。
要检查 Samsung Internet Browser 的版本号,只需转到“设置 -> 应用程序管理器”,然后从列表中选择相关软件即可。
