www.svetmobilne.cz
>
>
>
>

Adresní řádek v Chromu může útočník „nahradit“ falešným

Adresní řádek v Chromu může útočník „nahradit“ falešným
, , aktualita
Chrome pro Android obsahuje bezpečnostní mezeru, kterou může útočník využít k tzv. phishingu. Při posunu stránky se objeví falešný adresní řádek, který se tváří jako součást webového prohlížeče. Vyzkoušet si to můžete sami.
K oblíbeným
reklama
Autoři phishingových hrozeb obvykle potřebují pouze dobrý nápad, jak oklamat uživatele. Otevřená vrátka jim přitom nechává Chrome pro Android, který nabízí hackerům poměrně snadnou možnost, jak zobrazit falešný adresní řádek. Na chybu přišel vývojář James Fisher, který informaci zveřejnil na svém blogu. Útočník zaprvé může využít toho, že mobilní Chrome při posouvání stránky směrem dolů skryje horní lištu s adresním řádkem. Proto může být nahrazena falešnou lištou, která samozřejmě nefunguje, ale toho si uživatel nemusí všimnout, pokud se jí nedotkne. Falešný adresní řádek potom může obsahovat zcela jinou adresu URL, než na které se uživatel ve skutečnosti nachází, a samozřejmě doplněnou o certifikát HTTPS.
 
 
Skutečný adresní řádek by se potom měl zobrazit při posouvání stránky nahoru. I to ovšem hackeři mohou obejít, a to pomocí prvku overflow:scroll. Výsledkem je „scroll jail“, v doslovném překladu „skrolovací vězení“. Uživatel má dojem, že posouvá skutečnou stránku, ale ve skutečnosti dochází pouze ke skrolování uvnitř dané prvku, nebo jinak řečeno „v prohlížeči uvnitř prohlížeče“. Chrome tedy nemá potřebu ukazovat skutečnou horní lištu a celý podvod je tedy doveden skoro k dokonalosti. Možností, jak by toho mohl případný útočník zneužít, se nabízí nespočet. Stačí vytvořit stránku banky či sociální sítě, která bude vypadat jako skutečná. Nepozorný uživatel se potom může nechat zmást falešným adresním řádkem. I když si nakonec může všimnout podezřelého chování, možná to bude až ve chvíli, kdy zadá do formuláře své přihlašovací údaje, číslo platební karty nebo jiné citlivé informace.
 
Jak lze manipulovat s adresním řádkem si můžete vyzkoušet sami na stránce vývojáře, který chybu objevil. Stačí daný odkaz otevřít v mobilní verzi Chromu a skrolovat po stránce směrem dolů. Při našem testování se prohlížeč nejprve nenechal oklamat a na displeji se zobrazily dva adresní řádky – pravý a falešný. Druhý pokus už vyšel tak, jak vývojář zamýšlel. Pokud byste se někdy dostali na podezřelou webovou stránku, existuje jeden trik, jak v Chromu pro Android obejít „scroll jail“ a vyvolat skutečný adresní řádek. Stačí telefon uzamknout (pomocí tlačítka na boku) a následně opět odemknout.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Huawei nejspíš přijde o přístup ke službám Googlu včetně Obchodu Play Huawei nejspíš přijde o přístup ke službám Googlu včetně Obchodu Play
USA minulý týden přidaly Huawei na černou listinu kvůli údajnému ohrožení amerických telekomunikačních sítí. Na tento krok bude muset zareagovat také Google, který patrně přestane čínskému výrobci poskytovat část svých služeb.
Včera, aktualita, Jáchym Šlik3 komentáře
Lenovo mělo prezentovat novou Motorolu Razr ukradeným videem od fanouška Lenovo mělo prezentovat novou Motorolu Razr ukradeným videem od fanouška
Lenovo ukázalo čínským novinářům video s konceptem připravovaného flexibilního smartphonu Motorola Razr. Toto video ovšem měla společnost ukrást od jednoho z fanoušků a opatřit jej vlastním logem.
Včera, aktualita, Jáchym Šlik
Realme X: nekompromisní střední třída, která snad zamíří do Evropy Realme X: nekompromisní střední třída, která snad zamíří do Evropy
Čínská značka Realme, která patří stejnému vlastníkovi jako známější OnePlus, představila svůj zatím nejvybavenější telefon. Nabízí pěkný design, vysouvací přední kameru i čtečku otisků v displeji. A existuje reálná šance, že se dostane na evropské trhy.
Včera, aktualita, Jáchym Šlik
Garmin Overlander: autonavigace na silnici i do terénu Garmin Overlander: autonavigace na silnici i do terénu
Garmin představil satelitní navigaci Overlander určenou pro terénní vozidla. Vybavena je velkým displejem a odolným tělem, kromě jiných vychytávek má řidič k dispozici topografické mapy usnadňující cestu v terénu.
Včera, aktualita, Jáchym Šlik
Redmi 7A se blíží. Známe design a parametry Redmi 7A se blíží. Známe design a parametry
Xiaomi připravuje cenově dostupnou novinku Redmi 7A, která by měla dostat ještě agresivnější cenovku než Redmi 7. Jaké ústupky si to vyžádá? Parametry smartphonu společně s jeho obrázky nyní unikly na internet.
18.5.2019, aktualita, Jáchym Šlik