Лазейка в Chrome для Android обманывает пользователей фальшивой адресной строкой

В мире браузеров лидирует Google Chrome, и на то есть веская причина. Помимо простоты использования, Google Chrome имеет процветающую экосистему расширений, надежный набор функций и версии почти для всех основных платформ. Поскольку Chrome является самым популярным браузером, некоторые недобросовестные разработчики могут рассматривать его как способ получить конфиденциальную информацию от ничего не подозревающих пользователей.

Давайте смотреть правде в глаза. Большинство людей почти не проверяют адресную строку в браузере на ее подлинность. Что еще хуже, Chrome для Android скрывает адресную строку после загрузки страницы. Так что, если вы не обращали внимания при просмотре на своем телефоне, остерегайтесь фальшивой адресной строки на Android.

По словам аналитика по безопасности Джеймса Фишера, в Google Chrome есть ошибка, которая может позволить злоумышленникам установить поддельную адресную строку в Chrome для Android и скрыть настоящую.

Раскрыт поддельный трюк с адресной строкой на Android

Фишер показал на его блог как киберпреступники могут заставить контент выглядеть так, как будто он размещен на веб-сайте HSBC, авторитетной организации.

Хакер-фишинг проверял бдительность потенциальных жертв с помощью фальшивой адресной строки в Chrome для Android. Чтобы этот эксплойт был успешным, злоумышленник полагается на то, что пользователи не обращают внимания после прокрутки вниз. Обычно при прокрутке вниз в Chrome для Android самый верхний раздел, в котором есть кнопка вкладок и адресная строка, выдвигается из поля зрения, чтобы освободить больше места для страницы.

Начальная строка, как ее называет Фишер, также может помешать вам увидеть настоящую адресную строку при прокрутке вверх. Фишер подчеркнул, что если вышеуказанный трюк не обманет пользователей, фишинговый злоумышленник может использовать элемент заполнения, который не позволяет Chrome на Android отображать адресную строку при прокрутке страницы. Обычно, когда пользователь прокручивает вверх, Chrome для Android повторно отображает настоящую адресную строку.

Фишер обнаружил, что если Chrome не отображает настоящую адресную строку, фишинговому злоумышленнику легко переместить весь контент страницы в тюрьму прокрутки. Результатом этого эксплойта является веб-страница внутри веб-страницы. Поскольку веб-страница содержит собственную полосу прокрутки, пользователей можно обмануть, думая, что они прокручивают страницу вверх, хотя на самом деле они прокручивают клетку прокрутки вверх.

Возможно, более тревожным последствием трюка с поддельной адресной строкой на Android является то, что пользователи не могут легко покинуть веб-страницу, не обратившись к адресной строке.

До сих пор не было сообщений о случаях потери конфиденциальной информации пользователями киберпреступникам с помощью этого трюка с барфишингом, но теперь, когда Фишер сообщил об эксплойте, эти злоумышленники могут использовать его для проведения крупномасштабных фишинговых кампаний.

Как обнаружить поддельную адресную строку в Chrome для Android?

Пока мы ждем от Google выпуска обновления, которое предотвратит такие захваты браузера, мы предложили несколько стратегий, которые помогут вам обнаружить поддельную адресную строку:

• Один из самых эффективных способов обнаружить поддельную адресную строку в Chrome для Android — заблокировать смартфон, а затем разблокировать его. При этом ваш браузер будет вынужден отображать свою настоящую адресную строку. И если вы столкнулись с фишинговой атакой, вы заметите фальшивую адресную строку под настоящей. Вы можете просматривать эти адресные строки, даже если прокрутили страницу вниз.
• Еще один трюк, который вы можете использовать, чтобы раскрыть трюк с поддельной адресной строкой на Android, — внимательно следить за счетчиком, отображаемым на значке вкладок при использовании нескольких вкладок. Здесь поддельная адресная строка будет отображать неправильную цифру.
• С новым темным режимом в Chrome для Android теперь легко обнаружить поддельную адресную строку. Когда эта функция активна, подлинная адресная строка и все элементы пользовательского интерфейса становятся черными, а поддельная остается белой, что облегчает отличить настоящую адресную строку от поддельной.

Оставайтесь в безопасности

Помимо приведенных выше советов, также важно защитить свой телефон от вредоносных атак. Используйте надежное приложение-бустер, чтобы стереть ненужные данные и оптимизировать телефон для максимальной производительности. Инструмент очистки Android заботится о памяти, производительности, безопасности и времени автономной работы вашего телефона. Используйте это приложение, чтобы защитить конфиденциальную информацию при просмотре на телефоне через общедоступный Wi-Fi.

Следует отметить, что эксплойт пока является лишь доказательством концепции. Но имейте в виду, что ничто не мешает фишинговым злоумышленникам использовать такие векторы для сбора информации от ничего не подозревающих пользователей.

Не так давно Фишер поднял вопрос о политике Google в отношении адресов Gmail. Политика «точки не имеют значения» представляет собой лазейку, которую мошенники могут использовать для создания нескольких учетных записей Gmail, используя дополнительные точки. Хотя Google не различает точки в адресах электронной почты, другие онлайн-сервисы их распознают. Из-за этой лазейки мошенники обманули нескольких владельцев учетных записей Netflix.

Последние мысли

Google еще не выпустил официального ответа на трюк с поддельной адресной строкой на Android, поэтому нет информации о том, когда лазейка будет устранена. Тем не менее, приведенные выше советы должны помочь вам обнаружить поддельную адресную строку в Chrome для Android и защитить свой телефон от вредоносных атак. В любом случае стоит защитить себя от всех форм фишинговых атак. Вам следует быть более осторожным при просмотре веб-страниц с помощью Chrome для Android. Обязательно загляните в этот блог, чтобы узнать больше о том, как защитить и оптимизировать свой телефон для достижения максимальной производительности.

Продолжить чтение