CVE-2024-13983CVE-2024-13983是Google Chrome iOS版本中的一个UI欺骗漏洞。该漏洞存在于Chrome的Lens功能中,由于不当的实现,远程攻击者可以通过精心制作的二维码诱导用户访问恶意网站或执行非预期的操作。Lens功能原本旨在帮助用户通过摄像头识别和搜索图像内容,但攻击者可以利用该漏洞伪造合法的用户界面元素,欺骗用户进行点击或其他交互操作。此漏洞的CVSS评分为6.3,属于中等严重程度。虽然攻击复杂度较低,但需要用户交互(如扫描二维码),且攻击者需要诱导用户扫描恶意二维码。由于该漏洞影响iOS平台上的Chrome浏览器,考虑到移动设备在日常生活中的广泛应用,潜在影响范围较广。用户应尽快更新到修复版本以防止此类UI欺骗攻击。
该漏洞的根本原因在于Google Chrome iOS版Lens功能对二维码内容的处理存在缺陷。Lens组件在解析二维码时,未能正确验证和过滤恶意构造的数据,导致攻击者可以注入伪造的UI元素。当用户使用Chrome iOS版扫描包含恶意载荷的二维码时,Lens功能会解析这些数据并显示欺骗性的界面。由于Lens功能与Chrome的搜索和导航功能深度集成,攻击者可以诱导用户访问钓鱼网站、下载恶意应用或泄露敏感信息。攻击者构造的二维码可能包含指向钓鱼站点的URL、伪装成合法按钮的链接或其他UI欺骗元素。由于iOS系统的安全限制和Chrome的安全机制,正常情况下用户不会直接受到代码执行攻击,但UI欺骗可能导致用户信息泄露或被诱导执行危险操作。修复版本136.0.7103.59加强了对二维码内容的验证和过滤机制,防止恶意UI元素的渲染。