Пользователи мобильного Chrome уязвимы для фишинговых атак




Специалист по кибербезопасности Джеймс Фишер (James Fisher) обнаружил серьезный недостаток в интерфейсе мобильной версии браузера Google Chrome, сообщает Threatpost.

Как выяснил исследователь, при помощи встроенного апплета злоумышленники могут подменить адрес отображаемой браузером страницы и удерживать посетителя на фальшивом сайте, прикрываясь легитимным доменом. По мнению Фишера, для исправления уязвимости потребуется переработка пользовательского интерфейса браузера.

По словам эксперта, мобильная версия Chrome автоматически скрывает адресную строку при прокрутке содержимого страницы вниз, чтобы предоставить максимальное пространство для отображения контента. Киберпреступники могут этим воспользоваться, внедрив на фишинговый сайт такую же панель с фальшивым URL и закрепив ее в окне браузера. Как отмечает специалист, при помощи элемента overflow:scroll злоумышленники могут не допустить возврата к оригинальной адресной строке, удерживая жертву в границах собственного макроса.

Как подчеркивает Фишер, обнаруженная проблема является следствием особенностей работы интерфейса браузера. По мнению эксперта, для предупреждения фишинговых атак разработчики Chrome должны добавить индикацию скрытой адресной панели и предоставить пользователю возможность развернуть ее в любой момент.

Экспресс-тестирование показало, что другие мобильные браузеры лучше защищены от атаки такого рода. Один из подписчиков Фишера в Twitter опубликовал видео, которое демонстрирует, что Firefox и Safari в большинстве случаев отображают для PoC-страницы две адресные панели — фальшивую и легитимную, что значительно усложняет задачу злоумышленникам. Поведение сайта может зависеть и от модели мобильного устройства.

По теме: Чем Google Chrome хуже, чем Firefox — объясняет «Лаборатория Касперского»

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > Пользователи мобильного Chrome уязвимы для фишинговых атак
Все рубрики статей:
Топ-сегодня: Безопасность
Отдел «К» поймал хакера-вымогателя
При помощи вредоносной программы хакер получал доступ к конфиденциальным базам организаций и вымогал с них деньги за нераспространение информации конкурентам
Власти обязали Google выдать IP сотрудника WikiLeaks
Министерство юстиции США потребовало от компании Google раскрыть информацию об аккаунтах электронной почты Джейкоба Аппельбаума
«Лаборатория Касперского» получила три новых патента в России
Общее число технологий «Лаборатории Касперского», охраняемых патентами в России, достигло 43
Dr.Web вышел в он-лайн
В процессе четырехчасовой он-лайн конференции главный разработчик антивируса Dr.Web ответил на 45 вопросов
Обнаружена критическая уязвимость в Firefox
В популярном браузере Firefox обнаружена серьезная дыра во встроенном менеджере паролей
Новые статьи: Безопасность
Хактивизм практически прекратил свое существование
По мнению экспертов, ведущую роль в падении хактивизма сыграли проблемы внутри движения Anonymous
Android перестанет обновляться на смартфонах Huawei из-за санкций США
Компания Google приостановила сотрудничество с Huawei из-за внесения китайской компании в черный список правительства США
В Москве впервые похитили квартиру при помощи электронной подписи
Как заявили в Росреестре, это первый подобный случай, мошенники провели сделку через интернет-портал ведомства
Облачные сервисы становятся источником DDoS-атак
Эксперты отмечают, что рост исходящего трафика за счет вредоносных запросов может варьироваться в зависимости от тематики сетевого ресурса
Эксперты оценили стоимость накрутки голосов в финале шоу «Голос»
Обычно накрутка заказывается в компании, имеющей оформленные на физлиц сим-карты, которые вставляются в аппаратно-программный комплекс

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».