美国加州大学的研究人员在旧金山举行的“2008年应用、心理和安全会议”上发表的一篇论文中称,流行的电子器件中网络浏览器经常取消桌面浏览器中的重要的安全功能.
加州大学研究人员Yuan Niu、Francis Hsu和Hao Chen研究了苹果iPhone手机中的移动Safari浏览器和任天堂Wii和DS游戏机中的Opera浏览器.他们说,依靠显示屏输入是输入已知的 URL地址的一种威胁.用户更可能点击电子邮件中的URL地址.
研究人员称,缩小的显示屏尺寸容易迫使地址栏不能在显示屏上显示完整的地址.在任天堂DS游戏机中,只能显示前22个字符.研究人员提供了一个网页地址的例子 www.bankofamerica.com.phishydomain.com.在DS游戏机的显示屏上只能显示出 www.bankofamerica.com.
在iPhone手机上,一个简单的ScrollTo() JavaScript脚本就能让地址栏离开Safari显示屏.研究人员在这篇论文中提供了一个例子,让JavaScript脚本命令这个网页在地址中间加入某些东西,使这个地址栏离开了这个网页.
即使在地址栏可见的情况下,研究人员也能够使用JavaScript脚本用假冒的网页地址复盖合法的网页地址.这种方法能够让用户把没有保护的网站当成有安全套接层保护的网站.
研究人员称,把传统的浏览器移植到移动设备中需要有一些远见.他们说,用户会忽略浏览器中内置的功能.他们建议厂商在把网页传送到移动设备之前使用一个代理服务器过滤掉钓鱼攻击.
(责任编辑:董建伟)
