Recenze  |  Aktuality  |  Články
Doporučení  |  Diskuze
Auto-Moto
Mobilní telefony
Notebooky  |  Tablety
Příslušenství
Wearables  |  Ostatní
Svět hardware  |  Digimanie  |   TV Freak
Aktuality
>
Mobilní telefony
>
Aplikace
>
Android
>
Google

Adresní řádek v Chromu může útočník „nahradit“ falešným

29.4.2019, Jáchym Šlik, aktualita
Chrome pro Android obsahuje bezpečnostní mezeru, kterou může útočník využít k tzv. phishingu. Při posunu stránky se objeví falešný adresní řádek, který se tváří jako součást webového prohlížeče. Vyzkoušet si to můžete sami.
Autoři phishingových hrozeb obvykle potřebují pouze dobrý nápad, jak oklamat uživatele. Otevřená vrátka jim přitom nechává Chrome pro Android, který nabízí hackerům poměrně snadnou možnost, jak zobrazit falešný adresní řádek. Na chybu přišel vývojář James Fisher, který informaci zveřejnil na svém blogu. Útočník zaprvé může využít toho, že mobilní Chrome při posouvání stránky směrem dolů skryje horní lištu s adresním řádkem. Proto může být nahrazena falešnou lištou, která samozřejmě nefunguje, ale toho si uživatel nemusí všimnout, pokud se jí nedotkne. Falešný adresní řádek potom může obsahovat zcela jinou adresu URL, než na které se uživatel ve skutečnosti nachází, a samozřejmě doplněnou o certifikát HTTPS.
 
 
Skutečný adresní řádek by se potom měl zobrazit při posouvání stránky nahoru. I to ovšem hackeři mohou obejít, a to pomocí prvku overflow:scroll. Výsledkem je „scroll jail“, v doslovném překladu „skrolovací vězení“. Uživatel má dojem, že posouvá skutečnou stránku, ale ve skutečnosti dochází pouze ke skrolování uvnitř dané prvku, nebo jinak řečeno „v prohlížeči uvnitř prohlížeče“. Chrome tedy nemá potřebu ukazovat skutečnou horní lištu a celý podvod je tedy doveden skoro k dokonalosti. Možností, jak by toho mohl případný útočník zneužít, se nabízí nespočet. Stačí vytvořit stránku banky či sociální sítě, která bude vypadat jako skutečná. Nepozorný uživatel se potom může nechat zmást falešným adresním řádkem. I když si nakonec může všimnout podezřelého chování, možná to bude až ve chvíli, kdy zadá do formuláře své přihlašovací údaje, číslo platební karty nebo jiné citlivé informace.
 
Jak lze manipulovat s adresním řádkem si můžete vyzkoušet sami na stránce vývojáře, který chybu objevil. Stačí daný odkaz otevřít v mobilní verzi Chromu a skrolovat po stránce směrem dolů. Při našem testování se prohlížeč nejprve nenechal oklamat a na displeji se zobrazily dva adresní řádky – pravý a falešný. Druhý pokus už vyšel tak, jak vývojář zamýšlel. Pokud byste se někdy dostali na podezřelou webovou stránku, existuje jeden trik, jak v Chromu pro Android obejít „scroll jail“ a vyvolat skutečný adresní řádek. Stačí telefon uzamknout (pomocí tlačítka na boku) a následně opět odemknout.
 


reklama
Diskuze (0)|Další z rubriky:
Xiaomi je evropskou jedničkou, z první pozice sesadilo Samsung
Xiaomi je evropskou jedničkou, z první pozice sesadilo Samsung
5.8.2021, Milan Šurkala1
DxOMark bude nově testovat i výdrž akumulátorů u smartphonů
DxOMark bude nově testovat i výdrž akumulátorů u smartphonů
11.5.2021, Milan Šurkala
Xiaomi odsouvá Apple na 4. místo, vzrostlo o 35 %
Xiaomi odsouvá Apple na 4. místo, vzrostlo o 35 %
3.12.2020, Milan Šurkala
Legendární Nokia 3310 dnes slaví 20 let existence
Legendární Nokia 3310 dnes slaví 20 let existence
1.9.2020, Milan Šurkala
Doporučujeme z našich magazínů
Doporučené telefony na focení: březen 2024
Doporučené telefony na focení: březen 2024
28.3.2024, článek, Milan Šurkala
Doporučené fotoaparáty: březen 2024
Doporučené fotoaparáty: březen 2024
26.3.2024, článek, Milan Šurkala