Ez a kiskapu a Chrome for Androidban lehetővé teszi az adathalász-támadók számára, hogy hamis címsorral becsapják a felhasználókat (07.07.24)

A böngészővilágban a Google Chrome vezet, és jó okkal. Amellett, hogy könnyen használható, a Google Chrome virágzó kiterjesztésű ökoszisztémával, robusztus funkciókészlettel rendelkezik, és szinte minden fontosabb platformhoz rendelkezésre állnak verziói. Mivel a Chrome a legnépszerűbb böngésző, néhány aljas fejlesztő úgy tekinthet rá, hogy érzékeny információkat szerezhet a gyanútlan felhasználóktól.

Tegyük hozzá. A legtöbb ember alig ellenőrzi a böngésző címsorának hitelességét. Ami még rosszabb, a Chrome Androidhoz elrejti a címsávot, miután egy oldal betöltődött. Tehát, ha nem figyelt a telefon böngészése közben, vigyázzon az Android hamis címsorára.

James Fisher biztonsági elemző szerint a Google Chrome-ban van egy lejárat, amely lehetővé teszi az adathalász támadók használatát. hogy hamis címsort telepítsen az Android Chrome böngészőjébe, és elrejtse az eredeti címet.

Hamis címsáv trükk az Android rendszeren

Fisher a blogján megmutatta, hogy az internetes bűnözők miként okozhatják a tartalom megjelenését, mintha azt a jó hírű szervezet, a HSBC webhelyén tárolnák. címsáv a Chrome Androidhoz alkalmazásban. A kihasználás sikere érdekében a támadó arra hivatkozik, hogy a felhasználók nem figyelnek a lefelé görgetés után. Normál esetben, amikor az Android Chrome böngészőben lefelé görget, a legfelső szakasz, amelyen találhatók a fülek gomb és a címsor, felfelé csúszik, hogy több helyet biztosítson az oldalnak.

A kezdő sáv, ahogy Fisher hív ez megakadályozhatja a valódi címsor megtekintését, amikor felfelé görget. Fisher hangsúlyozta, hogy ha a fenti trükk nem téveszti meg a felhasználókat, az adathalász támadók olyan kitöltő elemet használhatnak, amely megakadályozza, hogy az Android rendszerű Chrome a címsávot jelenítse meg, amikor a felhasználók görgetnek. Rendszerint, amikor egy felhasználó felfelé görget, a Chrome for Android újra megjeleníti a valódi címsort.

Fisher rájött, hogy ha a Chrome nem jeleníti meg az eredeti címsort, akkor az adathalász támadóknak könnyű az egész oldal tartalmát egy gördülő börtönbe helyezni. Ennek a kiaknázásnak az eredménye egy weboldal egy weboldalon belül. Mivel a weboldal saját gördítősávot tartalmaz, a felhasználókat becsaphatják, hogy azt gondolják, hogy felfelé görgetik az oldalt, miközben a valódi értelemben a gördülő börtön fölé görgetnek.

Talán a hamis címsáv trükk az Androidon, hogy a felhasználók nem tudják egyszerűen elhagyni a weboldalt anélkül, hogy hozzáférnének a címsávhoz.

Eddig nem jelentettek olyan eseteket, amikor a felhasználók érzékeny információkat veszítettek el a számítógépes bűnözőktől, akik ezt az adathalászatot használták trükk, de most, amikor Fisher jelentette a kizsákmányolást, ezek a támadók nagyszabású adathalász kampányok lebonyolítására használhatják.

Hogyan lehet hamis címsávot találni a Chrome for Android alkalmazásban?

Amíg arra várunk, hogy a Google kiadjon egy frissítést, amely megakadályozza az ilyen böngészőátvételt, számos stratégiát javasoltunk, amelyek segítenek megtalálni a hamis címsávot:

  • Az észlelés egyik leghatékonyabb módja a Chrome for Android hamis címsora az okostelefon zárolása, majd feloldása. Ezzel a böngésző kénytelen megjeleníteni a valódi címsort. Ha pedig adathalász támadással néz szembe, akkor észreveszi a hamis címsort az eredeti alatt. Ezeket a címsorokat akkor is megtekintheti, ha lefelé görgetett.
  • Egy másik trükk, amellyel kiderítheti az Android hamis címsáv trükkjét, az az, hogy szorosan figyelje a fülek ikonján megjelenő számot, amikor használja. több fül. Itt a hamis címsor helytelen ábrát jelenít meg.
  • Az új sötét móddal a Chrome for Android alkalmazásban most már könnyen felismerhető egy hamis címsáv. Amikor ez a funkció aktív, az eredeti címsor és az összes felhasználói felület elfeketedik, míg a hamis fehér marad, így könnyebben meg lehet különböztetni a jogos címsort a hamisitól.
Legyen biztonságban

A fenti tippek mellett fontos a telefon védelme a rosszindulatú támadások ellen is. Használjon megbízható emlékeztető alkalmazást a szemét kiirtására, és optimalizálja telefonját a legjobb teljesítmény érdekében. Az Android tisztább eszköz gondoskodik a telefon memóriájáról, teljesítményéről, biztonságáról és az akkumulátor élettartamáról. Használja ezt az alkalmazást az érzékeny adatok védelmére, amikor nyilvános Wi-Fi-vel böngészik a telefonján.

Megjegyzendő, hogy a kihasználás egyelőre csak a koncepció bizonyítéka. De ne feledje, hogy semmi sem akadályozza meg az adathalász támadókat abban, hogy ilyen vektorokat használva gyűjtsenek információkat a gyanútlan felhasználóktól.

Nem sokkal ezelőtt Fisher problémát vetett fel a Google Gmail-címekre vonatkozó irányelveivel. A „pontok nem számítanak” irányelv olyan kiskaput mutat be, amelyet a csalók több pont létrehozásával több Gmail-fiók létrehozására használhatnak. Bár a Google nem különbözteti meg az e-mail címek pontjait, más online szolgáltatások felismerik őket. E kiskapu miatt a csalók több Netflix-fióktulajdonost is bekapcsoltak.

Végső gondolatok

A Google még nem adott ki hivatalos választ az Android hamis címsávos trükkjére, így nincs információ arról, hogy a kiskaput mikor fogják kijavítani. . Mindazonáltal a fenti tippeknek segíteniük kell egy hamis címsáv felismerésében az Android Chrome böngészőben, és megvédeni a telefont a rosszindulatú támadásoktól. Mindenesetre érdemes megvédenie magát az adathalász támadások minden formájától. Legyen körültekintőbb, amikor az Android böngészőjével böngészik az internetet. Győződjön meg róla, hogy visszatér a blogra, ha többet szeretne megtudni arról, hogyan védheti és optimalizálhatja telefonját a legjobb teljesítmény érdekében.

Youtube videó: Ez a kiskapu a Chrome for Androidban lehetővé teszi az adathalász-támadók számára, hogy hamis címsorral becsapják a felhasználókat

07, 2024