Μια νέου τύπου δυνατότητα επίθεσης phishing στον Chrome για Android, εντοπίστηκε από τον James Fisher που της έδωσε την ονομασία "inception bar". Με αυτήν δίνεται η δυνατότητα σε ένα site να κάνει spoof την URL στον Chrome, όταν ο χρήστης σκρολάρει, εκμεταλλευόμενο το κρύψιμο της address bar στις μικρές οθόνες των κινητών συσκευών.
Σύμφωνα με τον Fisher, πρόκειται για κενό ασφαλείας και δεν υπάρχει εύκολη αντιμετώπιση του. Για την ώρα δεν φαίνεται να υπάρχει εκστρατεία εκμετάλλευσης του από κακόβουλες οντότητες.The inception bar attack takes advantage of the fact that Chrome on mobile hides the address bar when scrolling. While that's a feature that is genuinely useful on a smaller screen, allowing you to see more content in the limited space provided, this attack manipulates that feature, replacing the URL bar with a fake after the real one is hidden, exploiting the implicit trust behind the recognizable UI element.
Worse, it's able to prevent the real bar from reappearing when you scroll back up as it should, using what the developer calls "scroll jail" by locking the user into an overflow container, complete with a fake page refresh if they scroll up too far.
Πηγή : Android Police
Εμφάνιση 1-5 από 5
-
29-04-19, 18:50 Νέα μέθοδος phishing με χρήση του Chrome για Android #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.114
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
29-04-19, 21:50 Απάντηση: Νέα μέθοδος phishing με χρήση του Chrome για Android #2
Δε βλέπω πως μπορεί να αντιμετωπιστεί αυτό. Ουσιαστικά σχεδιάζει μια ψεύτικη URL bar στο πάνω μέρος της σελίδας και όποιος δεν προσέξει νομίζει οτι είναι η κανονική. Πως να το σταματήσει ο browser αυτό; Μόνο με τον να μην κρύβει την πραγματική.
Επίσης δεν ξέρω γιατί μιλάνε ειδικά για chrome. Και ο FF (και πιθανότατα όλοι οι άλλοι browser) κρύβει τη μπάρα οπότε είναι το ίδιο ευάλωτος.
-
01-05-19, 16:09 Απάντηση: Νέα μέθοδος phishing με χρήση του Chrome για Android #3
- Εγγραφή
- 20-06-2007
- Περιοχή
- Chicago, Illinois
- Ηλικία
- 33
- Μηνύματα
- 30.738
- Downloads
- 96
- Uploads
- 25
- Άρθρα
- 14
- Τύπος
- FTTH
- Ταχύτητα
- 1 Gbps
- ISP
- Nova
-
02-05-19, 02:07 Απάντηση: Νέα μέθοδος phishing με χρήση του Chrome για Android #4
Το συγκεκριμένο site φτιάχτηκε για chrome γατί είναι απλά proof of concept και αυτός είναι ο πιο δημοφιλής browser. Δεν βλέπω γιατί να μην μπορεί να γίνει το ίδιο για οποιοδήποτε άλλο browser. Απλά σχεδιάζει με HTML και CSS κάτι που μοιάζει με address bar. Με βάση το user agent μπορείς να φτιάξεις κάτι που να ταιριάζει στο browser που χρησιμοποιεί ο καθένας.
-
02-05-19, 16:39 Απάντηση: Νέα μέθοδος phishing με χρήση του Chrome για Android #5
Kiwi browser μόνο σε android.
Μιλάμε κόβει τα πάντα!
Bookmarks