Ця лазівка в Chrome для Android дозволяє зловмисникам фішингу обманювати користувачів за допомогою підробленого адресного рядка (07.07.24)
У світі браузерів Google Chrome очолює - і з поважної причини. Окрім простоти у використанні, Google Chrome має процвітаючу екосистему розширення, надійний набір функцій і має версії майже для всіх основних платформ. Оскільки Chrome є найпопулярнішим браузером, деякі недоброзичливі розробники можуть розглядати його як спосіб отримання конфіденційної інформації від нічого не підозрюючих користувачів.
Погодьмось. Більшість людей майже не перевіряють справжність адресного рядка у своєму браузері. Щоб зробити це ще гірше, Chrome для Android приховує адресний рядок після завантаження сторінки. Тож якщо ви не звертали уваги під час перегляду на своєму телефоні, остерігайтеся підробленого адресного рядка на Android.
За словами аналітика безпеки Джеймса Фішера, у Google Chrome є провал, який може дозволити фішинговим зловмисникам встановити підроблений адресний рядок у Chrome для Android та приховати справжній.
Підступний підступний адресний рядок на Android виявленоФішер показав у своєму блозі, як кіберзлочинці можуть призвести до того, що вміст відображається так, ніби він розміщується на веб-сайті HSBC, авторитетної організації.
Фішинговий хакер перевіряв би підробленість потенційних жертв підробкою адресний рядок у Chrome для Android. Щоб цей експлойт мав успіх, зловмисник покладається на можливість того, що користувачі не звертають уваги після прокрутки вниз. Зазвичай, коли ви прокручуєте вниз у Chrome для Android, самий верхній розділ, який має кнопку табуляції та адресний рядок, висувається з поля зору, щоб надати більше місця для сторінки.
Початкова панель, як називає Фішер це також може перешкодити вам переглянути реальний адресний рядок під час прокрутки вгору. Фішер підкреслив, що якщо вищевказаний трюк не обдурить користувачів, зловмисник фішингу може використовувати елемент заповнення, який заважає Chrome на Android відображати адресний рядок, коли користувачі прокручують. Зазвичай, коли користувач прокручує сторінку, Chrome для Android повторно відображає справжній адресний рядок.
Фішер з’ясував, що якщо Chrome не відображає справжній адресний рядок, зловмисник фішингу легко переміщує весь вміст сторінки до в’язниці прокрутки. Результатом цієї експлуатації є веб-сторінка в межах веб-сторінки. Оскільки веб-сторінка містить власну смугу прокрутки, користувачів можна обдурити, що вони прокручують сторінку вгору, коли в реальному сенсі вони прокручують в'язницю прокрутки.
Можливо, більш тривожне значення Підступний підступний адресний рядок на Android полягає в тому, що користувачі не можуть легко залишити веб-сторінку, не отримавши доступ до адресного рядка.
Поки що не зафіксовано випадків, коли користувачі втрачали конфіденційну інформацію для кіберзлочинців, використовуючи цей бар-фішинг. фокус, але тепер, коли Фішер повідомив про подвиг, ці зловмисники могли використовувати його для проведення масштабних фішинг-кампаній.
Як виявити підроблений адресний рядок у Chrome для Android?Очікуючи, коли Google випустить оновлення, яке запобігає захопленню таких браузерів, ми запропонували кілька стратегій, які допоможуть вам виявити фальшивий адресний рядок:
- Один із найефективніших способів виявлення підроблений адресний рядок у Chrome для Android - це заблокувати ваш смартфон, а потім розблокувати його. Роблячи це, ваш браузер буде змушений відображати його справжній адресний рядок. І якщо ви стикаєтеся з фішинговою атакою, ви помітите підроблений адресний рядок під справжнім. Ви можете переглядати ці адресні рядки, навіть якщо ви прокрутили вниз.
- Ще один трюк, за допомогою якого можна розкрити підступну хитрість адресного рядка на Android, - це пильно стежити за кількістю, що відображається на піктограмі вкладок під час використання кілька вкладок. Тут фальшивий адресний рядок відображатиме неправильну цифру.
- Завдяки новому темному режиму в Chrome для Android тепер легко виявити підроблений адресний рядок. Коли ця функція активна, справжній адресний рядок та всі елементи інтерфейсу стануть чорними, а підроблений залишиться білим, що полегшить відрізнити законний адресний рядок від підробленого.
Окрім наведених вище порад, важливо також захистити свій телефон від зловмисних атак. Використовуйте надійний додатковий пристрій, щоб знищити сміття та оптимізувати свій телефон для досягнення максимальної продуктивності. Інструмент для очищення Android дбає про пам’ять телефону, продуктивність, безпеку та час роботи акумулятора. Використовуйте цей додаток, щоб захистити свою конфіденційну інформацію під час перегляду на телефоні за допомогою загальнодоступного Wi-Fi.
Варто зазначити, що експлойт на сьогодні є лише підтвердженням концепції. Але майте на увазі, що ніщо не заважає зловмисникам фішингу використовувати такі вектори для збору інформації від нічого не підозрюючих користувачів.
Нещодавно Фішер порушив проблему з політикою Google щодо адрес Gmail. Політика "точки не мають значення" містить лазівку, яку шахраї можуть використовувати для створення кількох облікових записів Gmail за допомогою додаткових крапок. Хоча Google не розрізняє крапки в електронних адресах, інші онлайн-служби їх розпізнають. Через цю лазівку шахраї схилили кількох власників облікових записів Netflix.
Останні думкиGoogle ще не дав офіційної відповіді на підступну хитрування адресного рядка на Android, тому немає інформації про те, коли лазівку буде виправлено . Тим не менше, наведені вище поради повинні допомогти вам виявити підроблений адресний рядок у Chrome для Android та захистити ваш телефон від зловмисних атак. У будь-якому випадку, варто захиститися від усіх форм фішингових атак. Ви повинні бути обережнішими, коли переглядаєте веб-сторінки за допомогою Chrome для Android. Обов’язково перегляньте цей блог, щоб дізнатися більше про те, як захистити та оптимізувати свій телефон для досягнення найвищої продуктивності.
Відео YouTube: Ця лазівка в Chrome для Android дозволяє зловмисникам фішингу обманювати користувачів за допомогою підробленого адресного рядка
07, 2024