黑客可以使用应用程序模式，在Chromium浏览器中用于隐蔽网络钓鱼攻击

在一种新的网络钓鱼技术中，已经证明了基于Chromium的web浏览器中的应用程序模式功能可以被滥用来创建“逼真的桌面网络钓鱼应用程序”

应用程序模式旨在以一种方式提供类似本地的体验，即在单独的浏览器窗口中启动网站，同时显示网站的收藏夹并隐藏地址栏。

根据安全研究员mr.d0x–；他还在今年早些时候设计了浏览器中浏览器（BitB）攻击方法；一个不好的演员可以利用这种行为来使用一些HTML/CSS技巧，在窗口顶部显示一个假地址栏，并欺骗用户放弃他们在流氓登录表单上的凭据。

mr.d0x表示：“虽然这项技术更多地是针对内部网络钓鱼，但从技术上讲，您仍然可以在外部网络钓鱼场景中使用它”。“您可以将这些假应用程序作为文件独立交付”。

这是通过设置一个顶部带有假地址栏的钓鱼页面，并配置--app参数以指向该页面所在的钓鱼网站来实现的。

除此之外，攻击者控制的钓鱼网站可以利用JavaScript执行更多操作，例如在用户输入凭据后立即关闭窗口，或调整窗口大小并定位以达到预期效果。

值得注意的是，该机制适用于其他操作系统，如macOS和Linux，这使其成为潜在的跨平台威胁。然而，攻击的成功取决于攻击者已经可以访问目标的机器。

也就是说，谷歌正在逐步取消对Chrome应用程序的支持，转而支持渐进式Web应用程序（PWA）和Web标准技术，该功能预计将在Windows、macOS和Linux的Chrome 109或更高版本中完全停止。

在与《黑客新闻》分享的一份声明中，这家互联网巨头表示，“在这项研究发表之前，app功能已被弃用，我们在考虑其未来时，正在考虑其滥用的可能性”。

“用户应该意识到，运行攻击者提供的任何文件都是危险的。谷歌的安全浏览有助于防止不安全的文件和网站。虽然在Chrome中默认启用了安全浏览，但用户可能希望启用增强保护，它会检查下载的安全性，以便在文件可能危险时更好地警告您”。

这一发现来自Trustwave SpiderLabs的新发现表明，HTML走私攻击很常见，.HTML（11.39%）和.HTM（2.7%）文件是继.JPG图像（25.29%）之后第二大垃圾邮件文件附件类型。