Ova rupa u Chromeu za Android omogućuje napadačima phishingom da prevare korisnike lažnom adresnom trakom (07.07.24)

U svijetu preglednika Google Chrome je na vrhu - i to s dobrim razlogom. Osim što je jednostavan za upotrebu, Google Chrome ima uspješan ekosustav proširenja, robustan set značajki i ima verzije za gotovo sve glavne platforme. Budući da je Chrome najpopularniji preglednik, neki podli programeri mogu ga smatrati načinom dobivanja osjetljivih podataka od nesumnjivih korisnika.

Pomirimo se s tim. Većina ljudi gotovo ne provjerava autentičnost adresne trake u svom pregledniku. Da bi bilo još gore, Chrome za Android sakriva adresnu traku nakon učitavanja stranice. Dakle, ako niste obraćali pažnju tijekom pregledavanja telefona, čuvajte se lažne adresne trake na Androidu.

Prema sigurnosnom analitičaru Jamesu Fisheru, na Google Chromeu postoji propust koji bi mogao dopustiti phishing napadačima instalirati lažnu adresnu traku na Chrome za Android i sakriti izvornu.

Trik s lažnom adresnom trakom na Androidu je otkriven

Fisher je na svom blogu pokazao kako cyber kriminalci mogu uzrokovati da se sadržaj prikaže kao da je hostiran na web mjestu HSBC-a, ugledne organizacije.

Phishing hacker lažnim će testom provjeriti budnost potencijalnih žrtava. adresna traka na Chromeu za Android. Da bi ovo iskorištavanje uspjelo, napadač se oslanja na mogućnost da korisnici ne obraćaju pažnju nakon pomicanja prema dolje. Obično kada se pomičete prema dolje u Chromeu za Android, najgornji odjeljak s gumbom kartice i adresnom trakom klizi prema gore kako bi pružio više prostora za stranicu.

Početna traka, kako zove Fisher to vam također može spriječiti da vidite stvarnu adresnu traku kada se pomičete prema gore. Fisher je naglasio da ako gornji trik ne zavara korisnike, napadač krađe identiteta mogao bi upotrijebiti element za popunjavanje koji Chromeu na Androidu onemogućuje prikaz adresne trake kada se korisnici pomiču. Obično, kad se korisnik pomakne prema gore, Chrome za Android ponovno će prikazati stvarnu adresnu traku.

Fisher je otkrio da ako napadač ne prikaže izvornu adresnu traku, napadač krađe identiteta lako je premjestiti cijeli sadržaj stranice u zatvor za pomicanje. Ishod ovog iskorištavanja je web stranica unutar web stranice. Budući da web stranica sadrži vlastitu traku za pomicanje, korisnici mogu prijevarom pomisliti da pomiču stranicu prema gore, dok u pravom smislu pomiču zatvor za pomicanje.

Možda zabrinjavajuća implikacija trik s lažnom adresnom trakom na Androidu je da korisnici ne mogu lako napustiti web stranicu bez pristupa adresnoj traci.

Za sada nema zabilježenih slučajeva da su korisnici putem cyber-kriminala izgubili osjetljive podatke cyber kriminalcima. trik, ali sada kada je Fisher prijavio eksploataciju, ovi bi ga napadači mogli koristiti za provođenje velikih phishing kampanja.

Kako prepoznati lažnu adresnu traku u Chromeu za Android?

Dok na Googleu čekamo da objavi ažuriranje koje sprečava takva preuzimanja preglednika, predložili smo nekoliko strategija koje će vam pomoći da uočite lažnu adresnu traku:

  • Jedan od najučinkovitijih načina uočavanja lažna adresna traka u Chromeu za Android zaključava vaš pametni telefon, a zatim ga otključava. Na taj će način vaš preglednik biti prisiljen prikazati svoju stvarnu adresnu traku. A ako ste suočeni s phishing napadom, primijetit ćete lažnu adresnu traku ispod izvorne. Ove adresne trake možete pregledati čak i ako ste pomaknuli prema dolje.
  • Još jedan trik kojim možete otkriti lažni trik adresne trake na Androidu je pažljivo praćenje broja prikazanog u ikoni kartica prilikom upotrebe više kartica. Ovdje će lažna adresna traka prikazati netočnu brojku.
  • S novim tamnim načinom rada u Chromeu za Android, sada je lako otkriti lažnu adresnu traku. Kad je ova značajka aktivna, originalna adresna traka i svi elementi korisničkog sučelja postat će crni, dok će lažni ostati bijeli, što olakšava razlikovanje legitimne adresne trake od lažne.
Ostanite sigurni

Osim gore navedenih savjeta, važno je i zaštititi telefon od zlonamjernih napada. Upotrijebite pouzdanu pomoćnu aplikaciju za brisanje smeća i optimiziranje telefona za vrhunske performanse. Alat za čišćenje Androida brine se o memoriji vašeg telefona, performansama, sigurnosti i trajanju baterije. Upotrijebite ovu aplikaciju za zaštitu osjetljivih podataka prilikom pregledavanja na telefonu pomoću javnog Wi-Fi-ja.

Treba napomenuti da je exploit za sada samo dokaz koncepta. Ali imajte na umu da napadači koji krade identitet ne mogu spriječiti upotrebu takvih vektora za prikupljanje podataka od nesumnjivih korisnika.

Nedavno je Fisher pokrenuo problem s Googleovim pravilima za Gmail adrese. Pravilo "točkice nisu bitne" predstavlja rupu koju prevaranti mogu koristiti za stvaranje nekoliko Gmail računa pomoću dodatnih točaka. Iako Google ne razlikuje točke u e-adresama, druge ih mrežne usluge prepoznaju. Zbog ove rupe, prevaranti su prevarili nekoliko vlasnika Netflix računa.

Konačne misli

​​Google još nije izdao službeni odgovor na trik s lažnom adresnom trakom na Androidu, tako da nema podataka kada će rupa biti ispravljena . Ipak, gornji savjeti trebali bi vam pomoći da uočite lažnu adresnu traku u Chromeu za Android i zaštitite svoj telefon od zlonamjernih napada. U svakom slučaju, isplati se zaštititi se od svih oblika phishing napada. Trebali biste biti oprezniji kad god pregledavate web pomoću Chromea za Android. Svakako provjerite na ovom blogu da biste saznali više o tome kako zaštititi i optimizirati svoj telefon za vrhunske performanse.

Youtube video: Ova rupa u Chromeu za Android omogućuje napadačima phishingom da prevare korisnike lažnom adresnom trakom

07, 2024