CVE-2026-5895Google Chrome for iOS 在版本 147.0.7727.55 之前存在安全 UI 显示不当漏洞。由于 Omnibox(地址栏)对域名的处理存在缺陷,远程攻击者可利用精心构造的域名欺骗地址栏显示内容,从而掩盖真实网址,诱导用户进行交互,存在钓鱼攻击风险。
该漏洞源于 Google Chrome iOS 版本中 Omnibox(地址栏)组件对特定域名格式的渲染逻辑缺陷。攻击者可以利用精心构造的恶意域名(例如利用特殊字符、IDN 同形异义字或特定编码),诱导 iOS 版 Chrome 浏览器在地址栏显示错误的域名信息。这种显示与实际加载内容的不一致,属于典型的 UI 欺骗攻击。由于该漏洞无需认证且通过网络传播,攻击者可将其嵌入钓鱼邮件或恶意网页中。一旦用户点击链接并访问,地址栏显示的可信 URL 会掩盖背后的恶意站点。虽然 CVSS 评分显示完整性影响为无,但视觉欺骗极易导致用户敏感信息泄露(机密性影响)或页面加载异常(可用性影响),严重破坏了浏览器的安全信任模型。