Пользователям Android: мобильная версия Google Chrome уязвима для хакеров
Ольга Сафонова –
Разработчик Джим Фишер обнаружил новый способ фишинговой атаки. Мобильный браузер Google Chrome можно взломать путём создания фальшивой адресной строки и помещения ее в верхнюю часть веб-страницы. Пользователь будет пойман в ловушку.
В своем персональном блоге исследователь Джим Фишер (James Fisher) написал, что все, что нужно сделать хакерам, это смоделировать фальшивую адресную строку и разместить ее в верхней части экрана. Пользователи устройства будут думать, что находятся на безопасном сайте, так как увидят характерную иконку в виде зеленого замка в верхней части страницы.
При прокручивании пользователем веб-страницы вниз, адресная строка уезжает с экрана, а освободившееся пространство может быть использовано для размещения фейка.
Фишер подробно описывает, как сделать так, чтобы строка не возвращалась при прокручивании назад. Он также отмечает, как можно поместить в самый верх страницы изображение, выглядящее точно как адресная строка. Пользователь не сможет нажать на него, и по факту окажется заблокированным на странице.
«Когда пользователь прокручивает страницу вниз, браузер скрывает адресную строку, увеличивая пространство для web-страницы. Для пользователя это дополнительное пространство – надежный интерфейс, поэтому фишинговый сайт может использовать его, чтобы показывать свою собственную строку ввода адреса», – пишет Фишер в своем блоге.
«Но в действительности всё еще хуже! Даже с вышеописанным механизмом «блокировки» пользователя на странице, у него есть возможность вернуться наверх. В таком случае адресная строка появляется снова. Такое действие тоже можно отключить, поместив в верхнюю часть страницы какой-либо заполняющий элемент. Если пользователь пытается «прокрутить» элемент, его отбрасывает к началу материала на самой веб-странице».
Исследователь отмечает, что Google еще не выпустил исправленную версию Chrome, однако есть способ понять, что вы «застряли» на веб-странице. Нужно заблокировать и разблокировать смартфон, это покажет фактическую строку браузера. Комментариев от корпорации тоже пока не поступало.
Это новость от журнала ММ «Машины и механизмы». Не знаете такого? Приглашаем прямо сейчас познакомиться с этим удивительным журналом.