Nieuwe Chrome-extensie controleert of de gebruikersnaam/wachtwoord combo heeft aangetast
Google releases “Wachtwoord Checkup” Chrome-extensie op Safer Internet Day.
Waarom geven de URL bar op een mobiel apparaat u kunt de gebruikers meer ruimte op het scherm door het te verbergen?
Google Chrome voor Android doet dat nadat een pagina is geladen, het verbergen van informatie over de URL en de uitbreiding van de ruimte op het scherm beschikbaar voor de weergave van inhoud van de web pagina.
De functie is handig voor gebruikers, maar ontwikkelaar James Fisher is de aandacht te vestigen op de mogelijkheid dat phishing aanvallers kunnen misbruiken te vangen gebruikers off guard bij het surfen.
ZIE: Hoe te bouwen van een succesvolle ontwikkelaar carrière (gratis PDF)
Als hij demonstreert in een blogpost gehost op zijn website, de inhoud ervan kan worden gemaakt om op een overtuigende manier te kijken als ware het wordt gehost op de website van de BRITSE bancaire reus HSBC, met de groene HTTPS ‘veilige’ hangslot.
Een phishing-aanvaller zou een beroep op de kans dat gebruikers het niet betalen van de aandacht na het klikken op een link in een bericht en het naar beneden scrollen, op welk punt Chrome op Android verbergt de URL-balk en geeft dat ruimte aan de web pagina. Chrome voor iOS, die is gebaseerd op Apple ‘ s WebKit, blijft het oorspronkelijke URL-balk.
Maar op Android, dat is waar een phishing-aanvaller test potentiële slachtoffers’ alertheid met een nep-URL-balk die is ingebouwd in de phishing-pagina.
Content kan worden gemaakt om te kijken als ware het, bijvoorbeeld, gehost op de website van de BRITSE bancaire reus HSBC, met de groene HTTPS ‘veilige’ hangslot.
Afbeelding: James Fisher
×
bewijs.png
Fisher punten uit een tweede mogelijke manier om een phishing-aanvaller truc gebruikers en spel Chrome design.
De aanval stelt hij voor om gebruik te maken van een padding element om te voorkomen dat Chrome de URL balk weer als de gebruiker scrollt, dat is wanneer Chrome normaal zou het weer opnieuw. De gebruiker wordt dan in ‘ga de gevangenis’.
“Normaal gesproken, wanneer de gebruiker scrollt omhoog, Chrome opnieuw het ware URL-balk. Maar we kunnen truc Chrome, zodat het nooit meer opnieuw het ware URL-balk. Zodra Chrome verbergt de URL-balk, we gaan de hele inhoud van een pagina in een ‘scroll gevangenis’ – dat is een nieuw element met overflow:scroll. Dan de gebruiker denkt dat ze omhoog te bladeren in de pagina, maar in feite zijn ze alleen omhoog te bladeren in de scroll-gevangenis.”
Fisher noemde zijn aanval na de sci-fi mind-bender met in de hoofdrol Leonardo DiCaprio ‘Inception’, een film over informatie te stelen door in te breken op anderen dromen.
“Als een droom in Oprichting, de gebruiker van mening dat ze in hun eigen browser, maar ze zijn eigenlijk in een browser in hun browser.”
Terwijl het is onwaarschijnlijk dat Google zou overwegen dit technisch gezien een security ‘kwetsbaarheid’ als Fisher noemt, het is niet de eerste keer dat een functie van Google is hij terug is misbruikt door oplichters voor criminaliteit.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Fisher vorig jaar vestigde de aandacht op het probleem met Google ‘ s ‘punten niet belangrijk zijn’ beleid voor een Gmail-adres, wat betekende dat als iemand stuurt een e-mail naar ‘j.o.h.n.s.m.i.t.h@gmail.com’ het zal nog steeds naar de eigenaar van ‘johnsmith@gmail.com’.
Oplichters gemaakt Gmail-accounts met extra punten, en gebruikt ze om te con Netflix-account eigenaren in het toevoegen van hun creditcard om een oplichter te zijn.
De truc werkt, want terwijl Gmail niet herkent de punten, de meeste andere online diensten herkennen wel de stippen in een e-mailadres in en laat het aanmaken van nieuwe rekeningen op basis van de gestippelde accounts.
Als ZDNet meldde eerder dit jaar, oplichters had gebruikt deze truc toe te passen voor frauduleuze werkloosheidsuitkeringen en bestand nep belastingaangiften, evenals bypass proef perioden voor online diensten.
De oprichting fout is ook een lastige om op te lossen. Echter, Fisher suggereert Google Chrome kan een kleine ruimte aan de bovenkant van het scherm om aan te tonen dat de URL-balk is ingestort.
Meer over Google Chrome security
Denk dat Gmail te rommelig? De ex-ontwerper heeft een Chrome-extensie om het op te lossenGoogle ruimt AMP verwarrend Url ‘ s door te verbergen google.comChrome OS te blokkeren USB-toegang wanneer het scherm is vergrendeldMicrosoft Rand voor iOS en Android voegt single sign-in, kan nu blok Chrome en Safari de toegang tot bepaalde appsMicrosoft releases Toepassing Guard extensie voor Chrome en FirefoxGoogle toont Chrome zero-day onder actieve aanvallenmaak je klaar om te beginnen met het evalueren van Chroom-gebaseerd Rand TechRepublicNep nieuws spotter: Hoe u Microsoft Rand van de NewsGuard CNET
Verwante Onderwerpen:
EU
Beveiliging TV
Data Management
CXO
Datacenters