Macluumad ayaa la daabacay oo ku saabsan habka phishing-ka kaas oo u ogolaanaya isticmaaluhu in uu abuuro dhalanteed ah in uu ku shaqeeyo qaab sharci ah oo xaqiijin ah isaga oo dib u abuuraya interface browserka meel ka muuqda korka daaqada hadda la isticmaalayo iframe. Haddii weeraryahannadii hore ay isku dayeen inay khiyaaneeyaan isticmaalaha iyaga oo diiwaangelinaya domains leh higaad la mid ah ama wax ka beddelaya cabbirrada URL, ka dib iyaga oo isticmaalaya habka la soo jeediyay ee isticmaalaya HTML iyo CSS, canaasiirta ayaa lagu sawiraa xagga sare ee daaqadda soo baxday ee soo noqnoqonaya interface browser, oo ay ku jiraan madax leh badhanka xakamaynta daaqada iyo ciwaanka ciwaanka , oo ay ku jiraan ciwaanka aan ahayn ciwaanka dhabta ah ee ku jira.
Iyadoo la tixgelinayo in goobo badan ay isticmaalaan foomamka aqoonsiga iyada oo loo marayo adeegyo dhinac saddexaad ah oo taageera borotokoolka OAuth, iyo foomamkan waxaa lagu soo bandhigay daaqad gaar ah, abuurista browserka khayaaliga ah waxay marin habaabiyaan xitaa isticmaale khibrad leh oo fiiro gaar ah. Habka la soo jeediyay, tusaale ahaan, waxaa loo isticmaali karaa goobaha la jabsado ama aan u qalmin si loo ururiyo xogta sirta ah ee isticmaalaha.
Cilmi-baare soo jeediyay dhibaatada ayaa daabacay qaab-dhismeed diyaarsan oo isku dayaya interface-ka Chrome-ka mawduucyada mugdiga iyo iftiinka ee macOS iyo Windows. Daaqad soo baxday ayaa la sameeyay iyadoo la isticmaalayo iframe oo lagu soo bandhigay nuxurka dushiisa. Si loogu daro xaqiiqada, JavaScript waxaa loo isticmaalaa in lagu xidho maamulayaasha kuu ogolaanaya inaad dhaqaajiso daaqada dhumucda ah oo aad gujiso badhanka xakamaynta daaqada.
Source: opennet.ru