阿碼外傳-阿碼科技非官方中文 Blog: 2008/9/3

2008年9月3日

「Google Chrome」瀏覽器實戰釣魚網站!敗~~

Google推出新的瀏覽器了,目前是測試版,有很多新聞,可以看這裡這裡還有這裡。如果想嘗鮮可以到下列網址下載安裝:
http://www.google.com/chrome

想知道目前這瀏覽器的市佔率,可以看這邊。看起來應該頗受大家看好,才有這統計數據,目前顯示將近 2%。

新的瀏覽器對有心人士來說,就是新戰場,貼切點就像是 Wii、PS3 或 iPhone 推出一樣,迫不及待的拆開把玩,所以,今天(9/3日)開放下載,馬上就有人推出攻擊:Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability
POC 網址在這裡

所以我們拿「Google Chrome」來實戰釣魚網站,這釣魚網站很常見的詐騙伎倆,大家不可不防的,實戰結果卻有點跌破眼鏡;所以,使用前還是要得先熟悉產品,不然會出事。這裡摘錄精彩片段予以重播,Pitch by Pitch...!

釣魚網站有目前有兩個連結,可以參考先前 POST 的文章
1.實戰釣魚網站(A):主要運用騙術。
2.實戰釣魚網站(B):除了騙術,還有些玩弄小程式,你能脫身嗎?

所以直接把 Google Chrome 瀏覽器,連線釣魚網站看看會有啥結果:
(A)網站瀏覽結果,發現桌面上馬上多一個檔案,一開始還真的嚇一跳哩,瀏覽畫面如下。怎會發生這款事勒...

桌面多出的一個檔案,有心人士可是千方百計才有這結果的哩:


(B)網站瀏覽結果,經過一連串網頁的煩人訊息後,發現桌面上也多一個檔案,瀏覽畫面如下:

同樣的,在循環的訊息過程中也無法將瀏覽器關閉,最後桌面也多出的一個檔案:


仔細想想發生啥事...大家應該也猜到發生啥事了!沒錯,「預設在下載檔案時」是沒有下載訊息的喔...XD,設定畫面如下,該不該打勾呢?我想你應該在這實戰釣魚網站過程中,知道會發生啥事了吧!順便複習一下釣魚網站的技倆。


如果沒勾,你的電腦可能會多出一堆檔案的哩,這瀏覽器的下載檔案的過程及訊息都跟 IE 及FireFox 不太一樣的,有沒有發現呢?站在「方便使用」的立場,或許相當人性化,但資訊安全往往站在「便利」的另一端,該如何取決,你得做出選擇。

這個漏洞也已經陸續有相關披漏了,可以參考下列網址:
Google Chrome Browser 0.2.149.27 Automatic File Download Exploit
Google Chrome Automatic File Download

本文同步張貼於:資安之我見

作者 Crane 為 阿碼科技 資安顧問

繼續閱讀全文...