Falha permite substituir a barra de endereços do Google Chrome para enganar utilizadores

O programador James Fisher descobriu um erro na app do Google Chrome para dispositivos móveis que permite substituir a barra de endereços legítima por uma imagem falsa da mesma barra quando o utilizador faz scroll

Na app do Chrome para dispositivos móveis, se um utilizador fizer scroll, o browser oculta a barra de endereços com o URL do site em que o utilizador realmente está. No entanto, esta ação, que pretende oferecer uma melhor experiência ao utilizador (especialmente aqueles que usam dispositivos com ecrãs pequenos), pode ser manipulada por um site de phishing para enganar o utilizador exibindo uma barra de endereços falsa e apresentando um URL apócrifa.

Fonte: jameshfisher.com

A vulnerabilidade na app do Chrome foi descoberta pelo programador James Fisher, que publicou no seu blog pessoal os detalhes dessa descoberta (batizada como “the inception bar”). Ele acrescentou que, se fosse usado para ataques de phishing, poderia enganar muitos utilizadores, fazendo-os crer que navegam num site no qual não estão realmente.

Para ilustrar como funciona, o programador fez um vídeo no qual criou uma barra de endereços falsa com o URL de uma conhecida entidade bancária. No entanto, e embora pareça que a página web exibida está hospedada no site da entidade, na verdade, a página está hospedada no seu site: jameshfisher.com.

Conforme explica no seu post, assim que o utilizador faz scroll, o Chrome volta a mostrar a barra de endereços real com o URL legítimo. No entanto, é possível fazer com que o Chrome não mostre a barra de endereços real novamente, fazendo com o que o utilizador fique “preso” no movimento de scroll. A vítima acaba por acreditar que está no browser, mas na verdade é em um browser dentro do seu browser, explica Fisher.

Embora tenham sido usadas imagens de um banco para o vídeo, o programador explica que, com um pouco mais de trabalho, é possível criar barras de endereços falsas e interativas. Portanto, se o utilizador não cair na armadilha, o hacker terá ainda outra chance bastando para tal que o utilizador coloque o endereço Gmail.com na barra de endereços interativa falsa. Caso o utilizador retorne à parte superior da página à procura da barra de endereços, o hacker pode ainda adicionar um elemento de preenchimento na parte superior do site e até enganar o utilizador de forma a que que ele acredite que a página foi atualizada.

Até ao momento, este bug na app do Chrome para dispositivos móveis não foi usado por hackers, mas, sem dúvida, que é algo que deve ser analisado pela Chrome a fim de verificar o uso da opção para ocultar a barra de endereços em dispositivos móveis quando o utilizador faz o scroll da página.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*