De nombreuses publications spécialisées sur une nouvelle méthode d'attaque de phishing destinée aux utilisateurs du navigateur Chrome sur les appareils mobiles. Le développeur James Fisher a découvert un exploit de navigateur Web relativement simple qui peut inciter un utilisateur à le forcer à accéder à une fausse page. Et cela demande peu.
Le fait est que dans la version mobile de Chrome, lorsque vous faites défiler l'écran vers le bas, la barre d'adresse disparaît. Cependant, un attaquant peut créer une fausse barre d'adresse qui ne disparaîtra que lorsque l'utilisateur visitera un autre site. Et cela peut être faux ou lancer le téléchargement de code malveillant. Il est également possible de remplacer la véritable barre d'adresse lors du défilement vers le haut.
L'approche de Fisher se concentre sur Chrome et n'est pour l'instant qu'une preuve de concept, mais en théorie, elle pourrait afficher de fausses barres d'adresse pour différents navigateurs et même des éléments interactifs. En d’autres termes, un groupe de pirates informatiques peut créer un faux site Web tout à fait convaincant et très similaire au vrai.
Les médias ont déjà contacté Google pour obtenir des éclaircissements, mais jusqu'à présent, il n'y a eu aucun commentaire de la part du géant de la recherche. Cependant, on ne sait pas encore combien d’attaquants utilisent déjà cette approche. Notez que la barre d'adresse réelle peut être épinglée afin qu'elle ne disparaisse pas lors du défilement. Même si ce n’est pas une panacée, cela vous permettra tout de même de savoir s’il y a eu une tentative de forger une ligne ou non.
On ne sait pas non plus quand une protection appropriée contre une telle défaillance apparaîtra. Très probablement, cela sera implémenté dans les futures versions du navigateur.
Source: 3dnews.ru