Nowy typ potencjalnego ataku phishingu został odkryty przez developera Jamesa Fishera. Nazywany przez twórcę inception bar. Atak umożliwia witrynie ukrycie paska URL w wersji mobilnej Chrome podczas przewijania, a następnie zablokowanie jej w fałszywym interfejsie użytkownika. W rzeczywistości strona wyszczególniająca tę nowo odkrytą wadę wykorzystuje ją do pokazania adresu URL HSBC.
Fałszywy pasek adresu w Chrome na Androida
Atak ten wykorzystuje fakt, że Chrome na smartfonach ukrywa pasek adresu podczas przewijania. Podczas gdy jest to funkcja, która jest naprawdę użyteczna na mniejszym ekranie, pozwalając dzięki temu zobaczyć więcej treści w ograniczonej przestrzeni, ten atak wykorzystuje ją, zastępując pasek adresu URL fałszywym. Co gorsza, jest w stanie zapobiec ponownemu pojawieniu się prawdziwego paska podczas przewijania do góry.
Zobacz też: ES File Explorer znika ze Sklepu Play – rykoszet czy słuszna kara od Google?
Fałszywy pasek, w tym przypadku, jest tylko statycznym obrazem, który zepsuje adres HSBC jako dowód koncepcji. Możliwe jest jednak stworzenie bardziej dynamicznych narzędzi, które będą w pełni interaktywne. Pasek adresu i menu wbudowane w fałszywy interfejs użytkownika mogą zaoferować interaktywność w celu uzyskania bardziej przekonującego efektu. Co gorsza, naprawdę dobrze zaprojektowana strona może wyciągnąć zawartość URL, który zostanie wprowadzony ręcznie. Innymi słowy, po załadowaniu witryny z paskiem początkowym, nie byłoby mało sposobu na rozpoznanie tego, czy załadowano prawdziwą stronę, czy podrobioną. Fisher uważa to za wadę bezpieczeństwa bez łatwego rozwiązania i trudno się z tym nie zgodzić. Do tej pory ten potencjalny rodzaj ataku nie jest wykorzystywany, jednak to najprawdopodobniej jedynie kwestia czasu.
Źródło: Androidpolice