如何阻止移動瀏覽器上的“位址列欺騙”攻擊

我們在tl80上寫了很多關於網路瀏覽器的文章，我覺得談論最新的Chrome、Firefox、Edge或Safari功能就像是我們每週的談話。我承認，即使我有點累了，但重要的是，我們要繼續聊天，因為有一個瀏覽器，更新了最新的功能和安全補丁是有利於您的數字生活。...

Illustration for article titled How to Block 'Address Bar Spoofing' Attacks on Your Mobile Browser

我們在tl80上寫了很多關於網路瀏覽器的文章，我覺得談論最新的Chrome、Firefox、Edge或Safari功能就像是我們每週的談話。我承認，即使我有點累了，但重要的是，我們要繼續聊天，因為有一個瀏覽器，更新了最新的功能和安全補丁是有利於您的數字生活。

老實說，我可以不關心你是否使用任**的功能，你的瀏覽器的開發人員推出的時候，如果你對上網衝浪是好的，但因為是這樣，不需要任何更多的**或口哨來分散你的日常上網習慣，那是非常好的。如果你不想做，就不要覺得你必須做得更多。

Just keep updating your apps. Never stop updating your apps.

但不要把我的建議當作一個訊號，當你的瀏覽器開發者釋出一個新版本時，你應該忽略它。因為這些更新不僅僅是功能。它們還將包含各種隱藏的修補程式，用於迷惑bug和安全漏洞。這就是它們釋出那天你想要的，因為它們能幫助你更安全地在網上跳躍。

舉個例子：現在有一個很大的研究正在進行，關於一些瀏覽器，包括移動版的Opera和Safari，如何容易受到一些“JavaScript騙局”的攻擊，網站可以利用這些騙局在瀏覽器的位址列中偽造它的實際URL。正如Rapid7研究總監Tod Beardsley最近為公司部落格所寫：

“在所有情況下，受害者都必須訪問攻擊者可以釋出可執行javascript的網站。通常情況下，這不包括Facebook、Reddit、Twitter等網站或其他線上論壇（它們在防範上述Javascript惡作劇方面做得很好），但會包括一個由攻擊者設定並透過釣魚電子郵件、釣魚簡訊傳送給受害者的網站，或者一個流行論壇的帖子。所以，舉個例子，想象一條來自一個偽造的電話號碼的簡訊，上面寫著，‘有一條來自你的支付處理器的重要資訊，請點選這裡’，然後你沒有仔細看就點選了，最後在一個網頁上清楚地（但錯誤地）顯示它是Paypal，嘿，你能很快放棄你的密碼嗎？’

聽起來很可怕，對吧？好訊息是，受此問題影響的主要瀏覽器，即Safari和Opera Mini/Touch，在Beardsley釋出報告之前已經進行了修補。對於你下載的第三方瀏覽器，比如Opera，這意味著你所要做的就是確保你定期透過蘋果的App Store或Google Play Store更新它們。

就這樣！只要不斷更新你的應用程式。永遠不要停止更新你的應用程式。

特別是對於Safari，你需要確保你總是執行最新版本的iOS，你可以得到你的手，因為蘋果不會更新瀏覽器透過其應用程式商店，你可能會期待。相反，蘋果透過系統更新推送瀏覽器更新，系統更新可以是主要的iOS版本（iOS 13>iOS 14）或增量版本（例如iOS 14.0.1）。

雖然大多數現代iphone應該自動更新到iOS的新版本，但您可以檢查此設定是否已啟用，並手動更新裝置（如果適用）。只需訪問設定&gt；常規&gt；軟體更新。就這麼簡單，這是你不應該磨磨蹭蹭的事情。再說一次，不關心新的瀏覽器版本，甚至新的作業系統版本中的特性是完全可以的。更新你的應用程式和作業系統，讓自己盡可能的安全。很簡單，真的。