Ta vrzel v Chromu za Android omogoča napadalcem z lažnim predstavljanjem, da prevarajo uporabnike z lažno naslovno vrstico (07.07.24)

V svetu brskalnikov je Google Chrome na vrhu, in to z dobrim razlogom. Poleg tega, da je Google Chrome enostaven za uporabo, ima uspešen razširitveni ekosistem, robusten nabor funkcij in različice za skoraj vse večje platforme. Ker je Chrome najbolj priljubljen brskalnik, ga nekateri hudobni razvijalci morda vidijo kot način pridobivanja občutljivih informacij od nič hudega slutečih uporabnikov.

Priznajmo si. Večina ljudi skoraj ne preveri, ali je naslovna vrstica v brskalniku pristna. Da bi bilo še slabše, Chrome za Android po nalaganju strani skrije naslovno vrstico. Torej, če niste bili pozorni med brskanjem po telefonu, pazite na ponarejeno naslovno vrstico v Androidu.

Po mnenju varnostnega analitika Jamesa Fisherja v brskalniku Google Chrome prihaja do napake, ki bi napadalcem z lažnim predstavljanjem lahko omogočila namestiti ponarejeno naslovno vrstico v Chrome za Android in prikriti pristno.

Trik z lažno naslovno vrstico v Androidu je bil razkrit

Fisher je na svojem blogu pokazal, kako lahko kiber kriminalci povzročijo, da se vsebina prikaže, kot da bi gostovala na spletnem mestu HSBC, ugledne organizacije.

Fishing heker bi s ponaredkom preizkusil budnost potencialnih žrtev. naslovna vrstica v Chromu za Android. Da bi ta izkoriščanje uspelo, se napadalec zanaša na možnost, da uporabniki po pomiku navzdol niso pozorni. Ko se v Chromu za Android pomaknete navzdol, zgornji odsek, ki ima gumb za zavihke in naslovno vrstico, drsi navzgor, da zagotovi več prostora za stran.

Začetna vrstica, kot jo pokliče Fisher lahko tudi prepreči ogled prave naslovne vrstice, ko se pomaknete navzgor. Fisher je poudaril, da bi lahko napadalci z lažnim predstavljanjem uporabili element oblazinjenja, ki preprečuje, da Chrome v Androidu prikaže naslovno vrstico, ko se uporabniki pomikajo, če zgornji trik uporabnikov ne zavede. Ko se uporabnik pomakne navzgor, Chrome za Android običajno prikaže pravo naslovno vrstico.

Fisher je ugotovil, da če Chrome ne prikaže pristne naslovne vrstice, lahko napadalec lažnega predstavljanja celotno vsebino strani premakne v drsni zapor. Rezultat tega izkoriščanja je spletna stran znotraj spletne strani. Ker spletna stran vsebuje svojo drsno vrstico, lahko uporabnike prevarajo, da mislijo, da se pomikajo po strani navzgor, ko pa v resničnem pomikajo drsni zapor.

Morda bolj zaskrbljujoče posledice Trik z lažno naslovno vrstico v Androidu je, da uporabniki ne morejo zlahka zapustiti spletne strani, ne da bi dostopali do naslovne vrstice.

Zaenkrat še ni poročil o primerih, da bi uporabniki s pomočjo tega lažnega predstavljanja izgubili občutljive podatke kiber kriminalcem trik, toda zdaj, ko je Fisher poročal o podvigu, bi ga ti napadalci lahko uporabili za izvajanje lažnih oglaševalskih akcij.

Kako prepoznati ponarejeno vrstico z naslovom v Chromu za Android?

Ko v Googlu čakamo, da objavi posodobitev, ki preprečuje takšne prevzeme brskalnikov, smo predlagali več strategij za lažje prepoznavanje ponarejene naslovne vrstice:

  • Eden najučinkovitejših načinov zaznavanja ponarejena naslovna vrstica v Chromu za Android je zaklepanje pametnega telefona in nato odklepanje. S tem bo vaš brskalnik prisiljen prikazati svojo pravo naslovno vrstico. In če se soočate z napadom z lažnim predstavljanjem, boste opazili ponarejeno naslovno vrstico pod originalno. Te naslovne vrstice si lahko ogledate, tudi če ste se pomaknili navzdol.
  • Drug trik, s katerim lahko odkrijete ponaredek z lažno naslovno vrstico v Androidu, je natančno spremljanje števila, prikazanega v ikoni zavihkov pri uporabi več zavihkov. Tu bo ponarejena naslovna vrstica prikazala napačno sliko.
  • Z novim temnim načinom v Chromu za Android je zdaj enostavno zaznati ponarejeno naslovno vrstico. Ko je ta funkcija aktivna, bodo pristna naslovna vrstica in vsi elementi uporabniškega vmesnika postali črni, lažna pa bo ostala bela, kar bo olajšalo razlikovanje med legitimno naslovno vrstico in ponarejeno.
Ostanite varni

Poleg zgornjih nasvetov je pomembno tudi zaščititi telefon pred zlonamernimi napadi. Uporabite zanesljivo ojačevalno aplikacijo, da izbrišete neželeno vsebino in optimizirate telefon za vrhunsko delovanje. Orodje za čiščenje Android skrbi za pomnilnik, zmogljivost, varnost in življenjsko dobo telefona. S to aplikacijo zaščitite svoje občutljive podatke med brskanjem po telefonu z uporabo javnega omrežja Wi-Fi.

Najpomembneje je omeniti, da je podvig za zdaj le dokaz koncepta. Vendar ne pozabite, da napadalci phishinga ničesar ne preprečujejo, da bi take vektorje uporabljali za zbiranje informacij od nič hudega slutečih uporabnikov.

Nedavno je Fisher sprožil težavo z Googlovim pravilnikom za Gmailove naslove. Pravilnik „pike niso pomembne“ predstavlja vrzel, ki jo prevaranti lahko uporabijo za ustvarjanje več računov Gmail z dodatnimi pikami. Čeprav Google ne razlikuje pik v e-poštnih naslovih, jih druge spletne storitve prepoznajo. Zaradi te vrzeli so prevaranti prevarali več lastnikov računov Netflix.

Končne misli

​​Google še ni izdal uradnega odgovora na trik z lažno naslovno vrstico v Androidu, zato ni podatkov o tem, kdaj bo vrzel odpravljena . Kljub temu bi vam zgornji nasveti pomagali, da v Chromu za Android opazite ponarejeno naslovno vrstico in zaščitite telefon pred zlonamernimi napadi. V vsakem primeru se splača zaščititi pred vsemi oblikami phishing napadov. Bodite previdnejši, ko brskate po spletu s Chromom za Android. Preverite v tem blogu, če želite izvedeti več o tem, kako zaščititi in optimizirati telefon za najboljšo zmogljivost.

YouTube Video.: Ta vrzel v Chromu za Android omogoča napadalcem z lažnim predstavljanjem, da prevarajo uporabnike z lažno naslovno vrstico

07, 2024