Пользователи мобильного Chrome уязвимы для фишинговых атак

Пользователи мобильного Chrome уязвимы для фишинговых атак

Серьезный недостаток в интерфейсе мобильной версии браузера Chrome обнаружил ИБ-специалист Джеймс Фишер (James Fisher). Эксперт выяснил, что при помощи встроенного апплета злоумышленники могут подменить адрес страницы, отображаемый обозревателем, и удерживать посетителя на фальшивом ресурсе, прикрываясь легитимным доменом. По мнению Фишера, уязвимость потребует переработки пользовательского интерфейса приложения.

Как отмечает исследователь, мобильная версия Chrome автоматически скрывает адресную строку при прокрутке содержимого страницы вниз, чтобы предоставить максимальное пространство для отображения контента. Злоумышленники могут воспользоваться этим, внедрив на фишинговый ресурс такую же панель с фальшивым URL и закрепив ее в окне обозревателя. Специалист пояснил, что при помощи элемента overflow:scroll киберпреступники способны не допустить возврата к оригинальной адресной строке, удерживая жертву в границах собственного макроса.

Публикация о проблеме в личном блоге Фишера одновременно выполняет роль PoC. Если открыть ее в мобильной версии Chrome и прокрутить вниз, то оригинальный адрес сайта будет заменен на домен банка HSBC, а легитимная панель браузера останется скрытой даже при возвращении к началу страницы.

Эксперт подчеркивает, что проблема является следствием особенностей работы интерфейса браузера. Специалист считает, что для предупреждения фишинговых атак разработчики Chrome должны добавить индикацию скрытой адресной панели и предоставить пользователю возможность развернуть ее в любой момент.

Экспресс-тестирование показало, что другие мобильные браузеры лучше защищены от подобной атаки. Один из подписчиков Фишера в Twitter опубликовал видео, которое демонстрирует, что Firefox и Safari в большинстве случаев отображают для PoC-страницы две адресные панели — фальшивую и легитимную, что значительно усложняет задачу злоумышленникам. Поведение сайта может зависеть и от модели устройства.

Последний релиз десктопного Chrome вышел 23 апреля 2019 года. В версии 74 разработчики залатали 39 брешей, включая серьезный баг нарушения целостности памяти в движке v8 и опасную user-after-free уязвимость в модуле просмотра документов PDFium.

Источник: //threatpost.ru/users-of-chrome-mobile-are-vulnerable-to-phishing/32525/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *