www.svetmobilne.cz
>
>
>
>

Adresní řádek v Chromu může útočník „nahradit“ falešným

Adresní řádek v Chromu může útočník „nahradit“ falešným
, , aktualita
Chrome pro Android obsahuje bezpečnostní mezeru, kterou může útočník využít k tzv. phishingu. Při posunu stránky se objeví falešný adresní řádek, který se tváří jako součást webového prohlížeče. Vyzkoušet si to můžete sami.
K oblíbeným
reklama
Autoři phishingových hrozeb obvykle potřebují pouze dobrý nápad, jak oklamat uživatele. Otevřená vrátka jim přitom nechává Chrome pro Android, který nabízí hackerům poměrně snadnou možnost, jak zobrazit falešný adresní řádek. Na chybu přišel vývojář James Fisher, který informaci zveřejnil na svém blogu. Útočník zaprvé může využít toho, že mobilní Chrome při posouvání stránky směrem dolů skryje horní lištu s adresním řádkem. Proto může být nahrazena falešnou lištou, která samozřejmě nefunguje, ale toho si uživatel nemusí všimnout, pokud se jí nedotkne. Falešný adresní řádek potom může obsahovat zcela jinou adresu URL, než na které se uživatel ve skutečnosti nachází, a samozřejmě doplněnou o certifikát HTTPS.
 
 
Skutečný adresní řádek by se potom měl zobrazit při posouvání stránky nahoru. I to ovšem hackeři mohou obejít, a to pomocí prvku overflow:scroll. Výsledkem je „scroll jail“, v doslovném překladu „skrolovací vězení“. Uživatel má dojem, že posouvá skutečnou stránku, ale ve skutečnosti dochází pouze ke skrolování uvnitř dané prvku, nebo jinak řečeno „v prohlížeči uvnitř prohlížeče“. Chrome tedy nemá potřebu ukazovat skutečnou horní lištu a celý podvod je tedy doveden skoro k dokonalosti. Možností, jak by toho mohl případný útočník zneužít, se nabízí nespočet. Stačí vytvořit stránku banky či sociální sítě, která bude vypadat jako skutečná. Nepozorný uživatel se potom může nechat zmást falešným adresním řádkem. I když si nakonec může všimnout podezřelého chování, možná to bude až ve chvíli, kdy zadá do formuláře své přihlašovací údaje, číslo platební karty nebo jiné citlivé informace.
 
Jak lze manipulovat s adresním řádkem si můžete vyzkoušet sami na stránce vývojáře, který chybu objevil. Stačí daný odkaz otevřít v mobilní verzi Chromu a skrolovat po stránce směrem dolů. Při našem testování se prohlížeč nejprve nenechal oklamat a na displeji se zobrazily dva adresní řádky – pravý a falešný. Druhý pokus už vyšel tak, jak vývojář zamýšlel. Pokud byste se někdy dostali na podezřelou webovou stránku, existuje jeden trik, jak v Chromu pro Android obejít „scroll jail“ a vyvolat skutečný adresní řádek. Stačí telefon uzamknout (pomocí tlačítka na boku) a následně opět odemknout.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Adware "Agent Smith" měnil aplikace, napadl 25 milionů telefonů Adware "Agent Smith" měnil aplikace, napadl 25 milionů telefonů
Světem aplikací pro Android se začal šířit pokročilý adware nazvaný Agent Smith nazvaný podle záporáka z Matrixu. Ten dokázal měnit legitimní aplikace a strkat do nich reklamy, z čehož hackeři pochopitelně profitovali.
Dnes, aktualita, Milan Šurkala
Elektrický koncept Bentley EXP 100GT si hraje se světlem Elektrický koncept Bentley EXP 100GT si hraje se světlem
Bentley ukázal koncept svého elektrického superluxusního vozu budoucnosti, modelu EXP 100GT. Má 4 elektromotory, exotické a netradiční materiály, skleněný strop pak vytváří neobvyklou hru světel.
14.7.2019, aktualita, Milan Šurkala1 komentář
OPPO Reno Z přichází s 6,4" AMOLED displejem OPPO Reno Z přichází s 6,4" AMOLED displejem
Společnost OPPO představuje nový high-endový smartphone Reno Z, který chce být velmi slušným fotomobilem s vysokou výdrží. Přináší 48MPx snímač vzadu, 32MPx čip vepředu a velký 6,4" AMOLED displej.
13.7.2019, aktualita, Milan Šurkala
Update pro Nokia 9 Pureview přináší "live bokeh" Update pro Nokia 9 Pureview přináší "live bokeh"
Telefon Nokia 9 PureView je velmi zajímavý svými fotoaparáty, kdy má na zádi hned pět fotomodulů. Aby byl jejich výkon lepší, přináší aktualizaci. Ta např. umožňuje funkci "live bokehu", tedy náhledu rozmazaného pozadí už před vyfocením.
13.7.2019, aktualita, Milan Šurkala
Odlehčené Spotify Lite přichází do 36 zemí Odlehčené Spotify Lite přichází do 36 zemí
Spotify přichází s odlehčenou verzí své aplikace Spotify Lite. Ta má zabírat méně místa na telefonu, také má uživatele informovat o tom, že mu streamování "sežralo" mnoho dat a blíží se svému měsíčnímu limitu.
11.7.2019, aktualita, Milan Šurkala