Chrome på Android: Phishing-attacker nu lura dig med falska adressfältet

0
132

Nya tillägg för Chrome kontrollerar om användarnamn/lösenord combo har äventyrats
Google släpper “Lösenord Checkup” Chrome-tillägget, på Safer Internet Day.

Varför visa URL bar på en mobil enhet när du kan ge användarna mer utrymme på skärmen genom att dölja det?

Google Chrome för Android inte bara det att när en sida har lästs in, döljer information om URL och utöka skärmen tillgängligt utrymme för att visa innehållet från webbsidan.

Funktionen är praktisk för alla användare, men för utvecklare James Fisher är att uppmärksamma möjligheten att phishing angripare kan missbruka den för att fånga användare av vakt när du surfar.

SE: Hur man bygger en framgångsrik utvecklare karriär (gratis PDF)

Som han visar i ett inlägg värd på sin webbplats, innehållet kan göras på ett övertygande sätt kan se ut som om det var värd på webbplatsen för STORBRITANNIEN bank jätte HSBC, med den gröna HTTPS ‘säkra’ hänglås och alla.

En phishing angripare skulle förlita sig på det chans att användarna inte betalar uppmärksamhet efter att ha klickat på en länk i ett meddelande och bläddra ner, vid vilken punkt Chrome på Android döljer URL-fältet och som ger utrymme för att webbsidan. Chrome för iOS, som bygger på Apples WebKit, fortsätter att visa den ursprungliga URL: en bar.

Men på Android som är där en phishing angripare kunde testa potentiella offer vakenhet med en falsk WEBBADRESS bar som är inbyggd i phishing-sida.

proof.png

Innehållet kan göras för att se ut som om det var, till exempel, värd på webbplatsen för STORBRITANNIEN bank jätte HSBC, med den gröna HTTPS ‘säkra’ hänglås.

Bild: James Fisher

×

bevis.png

Fisher pekar ut en andra möjlig väg för en phishing angripare kan lura användare och spelet Chrome design.

Den attack han föreslår att man skulle kunna använda en utfyllnad inslag för att förhindra att Chrome visas URL-fältet igen när användaren rullar, vilket är när Chrome normalt skulle visa den igen. Användaren är sedan i “bläddra fängelse”.

“Normalt, när användaren rullar upp, Chrome kommer att visa den verkliga URL-fältet. Men vi kan lura Chrome så att den aldrig visar den verkliga URL-fältet. När Chrome döljer URL bar, vi flyttar hela innehållet på sidan till “bläddra fängelse” – som är ett nytt inslag med overflow:scroll. Då användaren tycker de är att rulla upp på sidan, men i själva verket är de bara att rulla upp i bläddra i fängelse.”

Fisher heter hans attack efter sci-fi sinne-bender med Leonardo DiCaprio “Starten”, en film om att stjäla information genom att bryta sig in i andras drömmar.

“Som en dröm i Starten, användaren tror att de är i sin egen webbläsare, men de är faktiskt i en webbläsare i sin webbläsare.”

Även om det är osannolikt att Google skulle överväga detta tekniskt sett en säkerhet “sårbarhet” som Fisher kallar det, det är inte första gången Google har han riktat uppmärksamheten har varit utnyttjas av bedragare för brottslighet.

SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)

Fisher förra året uppmärksammade problemet med Googles “prickar don’ t matter “- politik för Gmail-adresser, vilket innebar att om någon skickar ett e-post till “j.o.h.n.s.m.i.t.h@gmail.com’ det kommer fortfarande att gå till ägare “johnsmith@gmail.com’.

Bedragare skapade Gmail-konton med extra prickar och använde dem för att con Netflix-konto ägare till att lägga till information om betalkort till en bedragare konto.

Tricket fungerar eftersom medan Gmail inte känner igen prickar, de flesta andra online-tjänster inser prickar i en e-postadress och möjliggöra skapandet av nya företag baserade på den streckade konton.

Som ZDNet rapporterade tidigare i år, bedragare hade använt detta knep för att ansöka om bedrägliga arbetslöshetsersättning och fil falska deklarationer, samt kringgå rättegång perioder för online-tjänster.

Starten fel är också en knepig att fixa. Men, Fisher föreslår Google Chrome kunde ha ett litet utrymme på toppen av skärmen för att visa att URL-fältet har kollapsat.

Mer om Google Chrome säkerhet

Tror att Gmail är för rörigt? Sin ex-designer har gjort en Chrome extension för att fixa detGoogle rensar upp AMP är förvirrande Webbadresser genom att gömma sig google.comChrome OS för att blockera USB-fi när skärmen är låstMicrosoft Kanten för iOS och Android lägger single sign-in, kan nu blockera Chrome och Safari tillgång till vissa programi Microsoft släpper Ansökan Vakt tillägg för Chrome och Firefoxavslöjar Google Chrome zero-day under aktiva attackerredo att börja utvärdera Krom-baserad Edge TechRepublicFalska nyheter spotter: Hur du aktiverar Microsoft Edge NewsGuard CNET

Relaterade Ämnen:

EU

Säkerhet-TV

Hantering Av Data

CXO

Datacenter