ایک فشنگ طریقہ کے بارے میں معلومات شائع کی گئی ہے جو صارف کو ایک iframe کا استعمال کرتے ہوئے موجودہ ونڈو کے اوپری حصے میں براؤزر انٹرفیس کو دوبارہ بنا کر تصدیق کی ایک جائز شکل کے ساتھ کام کرنے کا بھرم پیدا کرنے کی اجازت دیتا ہے۔ اگر پہلے حملہ آوروں نے یو آر ایل میں اسی طرح کے ہجے والے ڈومینز کو رجسٹر کرکے یا پیرامیٹرس میں ہیرا پھیری کرکے صارف کو دھوکہ دینے کی کوشش کی تھی، تو HTML اور CSS کا استعمال کرتے ہوئے مجوزہ طریقہ استعمال کرتے ہوئے، پاپ اپ ونڈو کے اوپری حصے پر عناصر بنائے جاتے ہیں جو براؤزر انٹرفیس کی نقل تیار کرتے ہیں، بشمول ونڈو کنٹرول بٹن اور ایڈریس بار کے ساتھ ایک ہیڈر، جس میں ایک پتہ شامل ہے جو مواد کا اصل پتہ نہیں ہے۔
اس بات پر غور کرتے ہوئے کہ بہت سی سائٹیں فریق ثالث کی خدمات کے ذریعے توثیق کے فارم استعمال کرتی ہیں جو OAuth پروٹوکول کو سپورٹ کرتی ہیں، اور یہ فارم ایک علیحدہ ونڈو میں دکھائے جاتے ہیں، ایک فرضی براؤزر انٹرفیس تیار کرنا ایک تجربہ کار اور دھیان رکھنے والے صارف کو بھی گمراہ کر سکتا ہے۔ تجویز کردہ طریقہ، مثال کے طور پر، صارف کا پاس ورڈ ڈیٹا اکٹھا کرنے کے لیے ہیک شدہ یا غیر مستحق سائٹس پر استعمال کیا جا سکتا ہے۔
ایک محقق جس نے اس مسئلے کی طرف توجہ مبذول کروائی اس نے میک او ایس اور ونڈوز کے لیے تاریک اور ہلکے تھیمز میں کروم انٹرفیس کی نقل کرتے ہوئے ترتیب کا ایک تیار سیٹ شائع کیا۔ ایک پاپ اپ ونڈو مواد کے اوپر دکھائے جانے والے iframe کا استعمال کرتے ہوئے بنتی ہے۔ حقیقت پسندی کو شامل کرنے کے لیے، JavaScript کا استعمال ہینڈلرز کو باندھنے کے لیے کیا جاتا ہے جو آپ کو ڈمی ونڈو کو منتقل کرنے اور ونڈو کنٹرول کے بٹنوں پر کلک کرنے کی اجازت دیتے ہیں۔
ماخذ: opennet.ru