Mae gwybodaeth wedi'i chyhoeddi am ddull gwe-rwydo sy'n caniatΓ‘u i'r defnyddiwr greu'r rhith o weithio gyda ffurf ddilys o ddilysu trwy ail-greu rhyngwyneb y porwr mewn ardal a ddangosir dros y ffenestr gyfredol gan ddefnyddio iframe. Pe bai ymosodwyr cynharach wedi ceisio twyllo'r defnyddiwr trwy gofrestru parthau tebyg o ran sillafu neu drin paramedrau yn yr URL, yna gan ddefnyddio'r dull arfaethedig gan ddefnyddio HTML a CSS, mae elfennau sy'n ailadrodd rhyngwyneb y porwr yn cael eu tynnu ar frig y ffenestr naid, gan gynnwys y teitl gyda botymau rheoli ffenestr a bar cyfeiriad A sy'n cynnwys cyfeiriad nad yw'n cyfateb i gyfeiriad gwirioneddol y cynnwys.
O ystyried bod llawer o wefannau'n defnyddio ffurflenni dilysu trwy wasanaethau trydydd parti sy'n cefnogi'r protocol OAuth, a bod y ffurflenni hyn yn cael eu harddangos mewn ffenestr ar wahΓ’n, gall cynhyrchu rhyngwyneb porwr ffug gamarwain hyd yn oed defnyddiwr profiadol a sylwgar. Gellir defnyddio'r dull arfaethedig, er enghraifft, ar safleoedd sydd wedi'u hacio neu'n anhaeddiannol i gasglu data cyfrinair defnyddwyr.
Cyhoeddodd yr ymchwilydd a dynnodd sylw at y broblem set barod o gynlluniau sy'n efelychu rhyngwyneb Chrome mewn themΓ’u tywyll a golau ar gyfer macOS a Windows. Mae'r ffenestr naid yn cael ei ffurfio gan ddefnyddio iframe a ddangosir dros y cynnwys. I ychwanegu realaeth, gan ddefnyddio JavaScript, mae trinwyr ynghlwm sy'n eich galluogi i symud y ffenestr ffug a chlicio ar y botymau rheoli ffenestr.
Ffynhonnell: opennet.ru