Пользователи мобильного Chrome уязвимы для фишинговых атак




Специалист по кибербезопасности Джеймс Фишер (James Fisher) обнаружил серьезный недостаток в интерфейсе мобильной версии браузера Google Chrome, сообщает Threatpost.

Как выяснил исследователь, при помощи встроенного апплета злоумышленники могут подменить адрес отображаемой браузером страницы и удерживать посетителя на фальшивом сайте, прикрываясь легитимным доменом. По мнению Фишера, для исправления уязвимости потребуется переработка пользовательского интерфейса браузера.

По словам эксперта, мобильная версия Chrome автоматически скрывает адресную строку при прокрутке содержимого страницы вниз, чтобы предоставить максимальное пространство для отображения контента. Киберпреступники могут этим воспользоваться, внедрив на фишинговый сайт такую же панель с фальшивым URL и закрепив ее в окне браузера. Как отмечает специалист, при помощи элемента overflow:scroll злоумышленники могут не допустить возврата к оригинальной адресной строке, удерживая жертву в границах собственного макроса.

Как подчеркивает Фишер, обнаруженная проблема является следствием особенностей работы интерфейса браузера. По мнению эксперта, для предупреждения фишинговых атак разработчики Chrome должны добавить индикацию скрытой адресной панели и предоставить пользователю возможность развернуть ее в любой момент.

Экспресс-тестирование показало, что другие мобильные браузеры лучше защищены от атаки такого рода. Один из подписчиков Фишера в Twitter опубликовал видео, которое демонстрирует, что Firefox и Safari в большинстве случаев отображают для PoC-страницы две адресные панели — фальшивую и легитимную, что значительно усложняет задачу злоумышленникам. Поведение сайта может зависеть и от модели мобильного устройства.

По теме: Чем Google Chrome хуже, чем Firefox — объясняет «Лаборатория Касперского»

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > Пользователи мобильного Chrome уязвимы для фишинговых атак
Все рубрики статей:
Топ-сегодня: Безопасность
Роскачество назвало лучшие антивирусы для Windows и macOS
Роскачество провело исследование антивирусных программ, испытав 35 продуктов 19 производителей, включая как платные, так и бесплатные версии
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Роскачество объяснило, как распознать телефонных мошенников
Телефонное мошенничество является одним из самых массовых цифровых преступлений
Google признала утечку записей голосовых команд пользователей
Один из специалистов Google нарушил правила безопасности, из-за чего записи голосов пользователей попали в открытый доступ
В Сеть утекли логины и пароли пользователей Ozon
Ozon — четвертый по величине российский интернет-магазин, число его клиентов составляет 30 млн человек
Новые статьи: Безопасность
Роскачество назвало лучшие антивирусы для Windows и macOS
Роскачество провело исследование антивирусных программ, испытав 35 продуктов 19 производителей, включая как платные, так и бесплатные версии
Роскачество объяснило, как распознать телефонных мошенников
Телефонное мошенничество является одним из самых массовых цифровых преступлений
Google признала утечку записей голосовых команд пользователей
Один из специалистов Google нарушил правила безопасности, из-за чего записи голосов пользователей попали в открытый доступ
В Сеть утекли логины и пароли пользователей Ozon
Ozon — четвертый по величине российский интернет-магазин, число его клиентов составляет 30 млн человек
Выявлен новый способ мошенничества при переводах через банкоматы
Специалисты Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России выявили новый способ мошенничества при денежных переводах через банкоматы

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».