Ez a kiskapu a Chrome for Androidban lehetővé teszi az adathalász-támadók számára, hogy hamis címsorral becsapják a felhasználókat (07.07.24)
A böngészővilágban a Google Chrome vezet, és jó okkal. Amellett, hogy könnyen használható, a Google Chrome virágzó kiterjesztésű ökoszisztémával, robusztus funkciókészlettel rendelkezik, és szinte minden fontosabb platformhoz rendelkezésre állnak verziói. Mivel a Chrome a legnépszerűbb böngésző, néhány aljas fejlesztő úgy tekinthet rá, hogy érzékeny információkat szerezhet a gyanútlan felhasználóktól.
Tegyük hozzá. A legtöbb ember alig ellenőrzi a böngésző címsorának hitelességét. Ami még rosszabb, a Chrome Androidhoz elrejti a címsávot, miután egy oldal betöltődött. Tehát, ha nem figyelt a telefon böngészése közben, vigyázzon az Android hamis címsorára.
James Fisher biztonsági elemző szerint a Google Chrome-ban van egy lejárat, amely lehetővé teszi az adathalász támadók használatát. hogy hamis címsort telepítsen az Android Chrome böngészőjébe, és elrejtse az eredeti címet.
Hamis címsáv trükk az Android rendszerenFisher a blogján megmutatta, hogy az internetes bűnözők miként okozhatják a tartalom megjelenését, mintha azt a jó hírű szervezet, a HSBC webhelyén tárolnák. címsáv a Chrome Androidhoz alkalmazásban. A kihasználás sikere érdekében a támadó arra hivatkozik, hogy a felhasználók nem figyelnek a lefelé görgetés után. Normál esetben, amikor az Android Chrome böngészőben lefelé görget, a legfelső szakasz, amelyen találhatók a fülek gomb és a címsor, felfelé csúszik, hogy több helyet biztosítson az oldalnak.
A kezdő sáv, ahogy Fisher hív ez megakadályozhatja a valódi címsor megtekintését, amikor felfelé görget. Fisher hangsúlyozta, hogy ha a fenti trükk nem téveszti meg a felhasználókat, az adathalász támadók olyan kitöltő elemet használhatnak, amely megakadályozza, hogy az Android rendszerű Chrome a címsávot jelenítse meg, amikor a felhasználók görgetnek. Rendszerint, amikor egy felhasználó felfelé görget, a Chrome for Android újra megjeleníti a valódi címsort.
Fisher rájött, hogy ha a Chrome nem jeleníti meg az eredeti címsort, akkor az adathalász támadóknak könnyű az egész oldal tartalmát egy gördülő börtönbe helyezni. Ennek a kiaknázásnak az eredménye egy weboldal egy weboldalon belül. Mivel a weboldal saját gördítősávot tartalmaz, a felhasználókat becsaphatják, hogy azt gondolják, hogy felfelé görgetik az oldalt, miközben a valódi értelemben a gördülő börtön fölé görgetnek.
Talán a hamis címsáv trükk az Androidon, hogy a felhasználók nem tudják egyszerűen elhagyni a weboldalt anélkül, hogy hozzáférnének a címsávhoz.
Eddig nem jelentettek olyan eseteket, amikor a felhasználók érzékeny információkat veszítettek el a számítógépes bűnözőktől, akik ezt az adathalászatot használták trükk, de most, amikor Fisher jelentette a kizsákmányolást, ezek a támadók nagyszabású adathalász kampányok lebonyolítására használhatják.
Hogyan lehet hamis címsávot találni a Chrome for Android alkalmazásban?Amíg arra várunk, hogy a Google kiadjon egy frissítést, amely megakadályozza az ilyen böngészőátvételt, számos stratégiát javasoltunk, amelyek segítenek megtalálni a hamis címsávot:
- Az észlelés egyik leghatékonyabb módja a Chrome for Android hamis címsora az okostelefon zárolása, majd feloldása. Ezzel a böngésző kénytelen megjeleníteni a valódi címsort. Ha pedig adathalász támadással néz szembe, akkor észreveszi a hamis címsort az eredeti alatt. Ezeket a címsorokat akkor is megtekintheti, ha lefelé görgetett.
- Egy másik trükk, amellyel kiderítheti az Android hamis címsáv trükkjét, az az, hogy szorosan figyelje a fülek ikonján megjelenő számot, amikor használja. több fül. Itt a hamis címsor helytelen ábrát jelenít meg.
- Az új sötét móddal a Chrome for Android alkalmazásban most már könnyen felismerhető egy hamis címsáv. Amikor ez a funkció aktív, az eredeti címsor és az összes felhasználói felület elfeketedik, míg a hamis fehér marad, így könnyebben meg lehet különböztetni a jogos címsort a hamisitól.
A fenti tippek mellett fontos a telefon védelme a rosszindulatú támadások ellen is. Használjon megbízható emlékeztető alkalmazást a szemét kiirtására, és optimalizálja telefonját a legjobb teljesítmény érdekében. Az Android tisztább eszköz gondoskodik a telefon memóriájáról, teljesítményéről, biztonságáról és az akkumulátor élettartamáról. Használja ezt az alkalmazást az érzékeny adatok védelmére, amikor nyilvános Wi-Fi-vel böngészik a telefonján.
Megjegyzendő, hogy a kihasználás egyelőre csak a koncepció bizonyítéka. De ne feledje, hogy semmi sem akadályozza meg az adathalász támadókat abban, hogy ilyen vektorokat használva gyűjtsenek információkat a gyanútlan felhasználóktól.
Nem sokkal ezelőtt Fisher problémát vetett fel a Google Gmail-címekre vonatkozó irányelveivel. A „pontok nem számítanak” irányelv olyan kiskaput mutat be, amelyet a csalók több pont létrehozásával több Gmail-fiók létrehozására használhatnak. Bár a Google nem különbözteti meg az e-mail címek pontjait, más online szolgáltatások felismerik őket. E kiskapu miatt a csalók több Netflix-fióktulajdonost is bekapcsoltak.
Végső gondolatokA Google még nem adott ki hivatalos választ az Android hamis címsávos trükkjére, így nincs információ arról, hogy a kiskaput mikor fogják kijavítani. . Mindazonáltal a fenti tippeknek segíteniük kell egy hamis címsáv felismerésében az Android Chrome böngészőben, és megvédeni a telefont a rosszindulatú támadásoktól. Mindenesetre érdemes megvédenie magát az adathalász támadások minden formájától. Legyen körültekintőbb, amikor az Android böngészőjével böngészik az internetet. Győződjön meg róla, hogy visszatér a blogra, ha többet szeretne megtudni arról, hogyan védheti és optimalizálhatja telefonját a legjobb teljesítmény érdekében.
Youtube videó: Ez a kiskapu a Chrome for Androidban lehetővé teszi az adathalász-támadók számára, hogy hamis címsorral becsapják a felhasználókat
07, 2024