iPhone和Wii浏览器易使用户遭到钓鱼攻击

加州大学研究人员Yuan Niu、Francis Hsu和Hao Chen研究了苹果iPhone手机中的移动Safari浏览器和任天堂Wii和DS游戏机中的Opera浏览器。他们说，依靠显示屏输入是输入已知的URL地址的一种威胁。用户更可能点击电子邮件中的URL地址。




研究人员称，缩小的显示屏尺寸容易迫使地址栏不能在显示屏上显示完整的地址。在任天堂DS游戏机中，只能显示前22个字符。研究人员提供了一个网页地址的例子www.bankofamerica.com.phishydomain.com。在DS游戏机的显示屏上只能显示出www.bankofamerica.com。




在iPhone手机上，一个简单的ScrollTo() JavaScript脚本就能让地址栏离开Safari显示屏。研究人员在这篇论文中提供了一个例子，让JavaScript脚本命令这个网页在地址中间加入某些东西，使这个地址栏离开了这个网页。




即使在地址栏可见的情况下，研究人员也能够使用JavaScript脚本用假冒的网页地址复盖合法的网页地址。这种方法能够让用户把没有保护的网站当成有安全套接层保护的网站。




研究人员称，把传统的浏览器移植到移动设备中需要有一些远见。他们说，用户会忽略浏览器中内置的功能。他们建议厂商在把网页传送到移动设备之前使用一个代理服务器过滤掉钓鱼攻击。