Ny Chrome-udvidelse tjekker om brugernavn/password combo er blevet kompromitteret
Google frigiver “Password Helbredsundersøgelse” Chrome extension på sikker Internet Dag.
Hvorfor vise URL-baren på en mobil enhed, når du kan give brugerne mere plads på skærmen ved at skjule det?
Google Chrome til Android er bare, at når en side er indlæst, for at skjule oplysninger om URL ‘ en og udvidelse af skærmen plads til at vise indhold fra web-side.
Funktionen er praktisk for brugere, men udvikler James Fisher er at gøre opmærksom på muligheden for, at phishing-hackere kan misbruge den til at fange brugere off vagt, når du browser.
SE: Hvordan man opbygger en succesfuld karriere udvikler (gratis PDF)
Som han viser i en blogpost, der er hostet på hans hjemmeside, indholdet kan være lavet på en overbevisende måde at se ud, som om det var hosted på hjemmesiden for BRITISKE HSBC bank-gigant, med den grønne HTTPS ‘sikker’ hængelås og alle.
En phishing-angriberen ville være afhængige af chance for, at brugerne ikke betaler opmærksomhed efter at have klikket på et link i en sms-besked, og rul ned, på hvilket tidspunkt Chrome på Android skjuler URL-baren og giver det plads til den web-side. Chrome på iOS, som er baseret på Apples WebKit, fortsætter med at vise den oprindelige URL-baren.
Men på Android er det, hvor en phishing-angriberen kunne teste potentielle ofre opmærksomhed med en falsk URL-baren, der er indbygget i phishing web-side.
Indhold, der kan bringes til at se ud, som om det var, for eksempel, der er hostet på hjemmesiden af den BRITISKE HSBC bank-gigant, med den grønne HTTPS ‘sikker’ hængelås.
Billede: James Fisher
×
bevis.png
Fisher påpeger en anden måde, hvorpå et phishing-angriberen kunne narre brugere og spil Chrome ‘ s design.
De angreb, han foreslår, er at bruge en polstring element for at forhindre Chrome fra at vise URL-baren igen, når brugeren ruller, der er, når Chrome normalt ville få det vist igen. Brugeren er derefter i ‘rul fængsel’.
“Normalt, når brugeren ruller op, Chrome vil vise den sande WEBADRESSEN bar. Men vi kan narre Chrome, så er det aldrig viser den sande WEBADRESSEN bar. Når Chrome gemmer URL-baren, vi flytte hele sidens indhold ind i et “rul i fængslet’ – det er et nyt element med overflow:rul. Så brugeren tror, at han er ved at rulle op i den side, men i virkeligheden er de kun at rulle op i rul fængsel.”
Fisher ved navn hans angreb efter sci-fi-sind-bender medvirkende Leonardo DiCaprio ‘Inception’, en film om at stjæle oplysninger ved at bryde ind i andres drømme.
“Som en drøm i Starten, de bruger mener de er i deres egen browser, men de er faktisk i en browser i deres browser.”
Mens det er usandsynligt, at Google ville overveje dette teknisk set er en sikkerhed “sårbarhed” som Fisher kalder det, det er ikke første gang Google har han sat fokus har været udnyttet af scammers til kriminalitet.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Fisher sidste år gjorde opmærksom på problemet med Google ‘s” dots ikke noget ” – politik for Gmail-adresser, som betød, at hvis en person sender en mail til ‘j.o.h.n.s.m.i.t.h@gmail.com’ det vil stadig gå til ejeren af ‘johnsmith@gmail.com’.
Svindlere oprettet Gmail-konti med ekstra prikker og brugte dem til at con Netflix-konto ejere til at tilføje deres betalingskortoplysninger til en scammer ‘ s konto.
Det trick virker, fordi mens Gmail ikke genkende de punkter, de fleste andre online-tjenester kan genkende prikker i en e-mail-adresse og tillader oprettelse af nye konti, som er baseret på den stiplede konti.
Som ZDNet rapporteret tidligere i år, svindlere havde brugt dette kneb for at ansøge om svigagtig arbejdsløshedsunderstøttelse og fil falske selvangivelser, samt bypass prøveversionen perioder for online-tjenester.
Starten fejl er også en vanskelig opgave at løse. Men Fisher tyder på, at Google Chrome kan have en lille plads i toppen af skærmen for at vise, at URL-baren er blevet brudt sammen.
Mere om Google Chrome sikkerhed
Tror Gmail er for rodet? Sin ex-designer har lavet en udvidelse i Chrome, til at ordne detGoogle rydder op-AMP ‘ s forvirrende Webadresser ved at skjule google.comChrome OS for at blokere USB-adgang, mens skærmen er låstMicrosoft Kant til iOS og Android, tilføjer single sign-in, kan nu blokere Chrome og Safari adgang til nogle appsMicrosoft frigiver Ansøgning Vagt udvidelse til Chrome og Firefox,Google lancerer Chrome nul-dag under aktivt angrebgør dig klar til at begynde at evaluere Chrom-baseret Kant TechRepublicFalske nyheder spotter: Hvordan at aktivere Microsoft-Kant ‘ s NewsGuard CNET
Relaterede Emner:
EU
Sikkerhed-TV
Data Management
CXO
Datacentre