Уязвимoсть в Chrome пoзвoляeт показывать поддельную адресную строку, упрощая фишинговые атаки.
Разработчик Джеймс Фишер обнаружил в Chrome для мобильных устройств довольно простую уязвимость, которая основана на том, как приложение отображает адресную строку. Когда пользователь прокручивает страницу сверху вниз, происходит отображение фальшивой адресной строки, которая не исчезнет, пока не произойдёт переход на другой сайт. При этом злоумышленник может даже обработать страницу таким образом, чтобы пользователь не увидел реальную адресную строку при прокрутке вверх, пишет Хроника.инфо со ссылкой на itc.ua.
Данный метод ориентирован на Chrome и пока является лишь подтверждением концепции, но теоретически он может использоваться для отображения поддельных адресных строк для различных браузеров и даже включения интерактивных элементов. Таким образом, злоумышленники могут создать фишинговый сайт, который внешне невозможно отличить от реального сайта (или отличия могут быть в виде содержания страницы). При этом посетитель такого сайта не сможет проверить фактический адрес сайта, так как фальшивая адресная строка будет показывать заданную информацию, а не фактический URL.
Читайте также: Представлена автоматическая помпа для бутилированной воды от Xiaomi
Пока что Google никак не прокомментировала эту информацию. Также нет сведений о том, насколько широко злоумышленники смогут использовать этот метод. В качестве средства борьбы с ним можно воспользоваться блокировкой и последующей разблокировкой смартфона, что позволяет вернуть на экран реальную адресную строку.