"Incepcja" paska adresu – nowy sposób na phishing w Chromie

Mobila wersja przeglądarki Google Chrome ma tę zaletę, że ukrywa pasek adresu, by dać stronie większą przestrzeń na ekranie smartfonu. A co jeśli szkodliwa strona pokaże własny pasek i przekona użytkowika, że jest na stronie swojego banku? Atak phishingowy gotowy.

Jedną z podstawowych metod ochrony przez phishingiem jest uważne sprawdzanie adresów odwiedzanych stron. Oszuści podszywający się pod popularne portale często wykorzystują nieco zmienione domeny, które czytane szybko można pomylić z prawdziwymi. Mobilny Chrome pozwala jednak na zmianę zawartości paska, jeśli strona zostanie odpowiednio przygotowana.

Lukę znalazł i przeanalizował Jim Fischer, mówca i programista. Na jego blogu znajduje się przykładowa strona z kodem zamieniającym adres na hsbc.com. Wystarczy odwiedzić wpis na jego blogu i przesunąć stronę nieco w dół, by ukryć prawdziwy pasek adresu przeglądarki, a następnie zobaczyć pasek adresu z domeną banku. Fischer nazwał to "incepcją", nawiązując do świetnego filmu.

Przyciski paska nie reagują i nie można wpisać w nim nowego adresu, liczba otwartych kart także jest fikcyjna. Jak się pewnie domyślacie, nie jest prawdziwy - to po prostu element strony. Nieuważny użytkownik może się jednak złapać na to oszustwo.

Co więcej, z tej strony trudno wyjść. Można próbować się cofnąć, zamknąć przeglądarkę albo przewijać stronę w górę i w dół, aż pokaże się prawdziwy pasek adresu Chrome'a. Fischer twierdzi jednak, że można tak przygotować stronę, by prawdziwy pasek nigdy się nie pokazał i w ten sposób "uwięzić" użytkownika. Dodając na górze strony margines, można wywołać efekt przejścia do początku strony i odświeżenia. Przeglądający stronę może myśleć, że jest w swojej przeglądarce, ale tak naprawdę jest to przeglądarka w przeglądarce.

Fischer zaznacza również, że fałszywy pasek może być interaktywny, co pomoże przygotować wieloetapowe ataki. Co więcej, nie jest to błąd przeglądarki i nie wiadomo, jak go naprawić. Mogłoby pomóc dodanie znacznika informującego o tym, że pasek adresu został zwinięty, ale to i tak wymaga sporo uwagi ze strony użytkownika, a przecież nie o to chodzi w przeglądaniu stron na smartfonie.