Detta kryphål i Chrome för Android gör att phishing-angripare kan lura användare med falsk adressfält (07.07.24)

I webbläsarvärlden toppar Google Chrome, - och med goda skäl. Förutom att det är enkelt att använda har Google Chrome ett blomstrande tilläggsekosystem, en robust funktionsuppsättning och har versioner för nästan alla större plattformar. Eftersom Chrome är den mest populära webbläsaren, kan det hända att vissa illvilliga utvecklare ser det som en väg att få känslig information från intet ont anande användare.

Låt oss inse det. De flesta kontrollerar knappast adressfältet i sin webbläsare för dess äkthet. För att göra det ännu värre döljer Chrome för Android adressfältet efter att en sida har laddats. Så om du inte har varit uppmärksam när du surfar på din telefon, se upp för den falska adressfältet på Android.

Enligt en säkerhetsanalytiker James Fisher finns det ett förfall i Google Chrome som kan tillåta nätfiskeangripare att installera en falsk adressfält på Chrome för Android och dölja den äkta.

Fake Address Bar Trick på Android har exponerats

Fisher visade på sin blogg hur cyberbrottslingar kan få innehållet att se ut som om det är värd på webbplatsen för HSBC, en ansedd organisation.

En nätfiskehacker skulle testa potentiella offrets vakenhet med en falsk adressfält på Chrome för Android. För att detta utnyttjande ska lyckas förlitar sig angriparen på möjligheten att användare inte är uppmärksamma efter att ha bläddrat ner. Normalt när du rullar nedåt i Chrome för Android glider det översta avsnittet, som har flikar och adressfält, uppifrån för att ge mer utrymme för sidan.

Startfältet, som Fisher kallar det, kan också hindra dig från att visa den riktiga adressfältet när du rullar uppåt. Fisher betonade att om ovanstående trick inte lurar användare kan en phishing-angripare använda ett utfyllnadselement som förhindrar Chrome på Android från att visa adressfältet när användare rullar. Vanligtvis, när en användare rullar upp, kommer Chrome för Android att visa det verkliga adressfältet igen.

Fisher upptäckte att om Chrome inte visar det äkta adressfältet är det enkelt för en nätfiskeattacker att flytta hela sidinnehållet till ett rullningsfängelse. Resultatet av detta utnyttjande är en webbsida på en webbsida. Eftersom webbsidan innehåller ett eget rullningsfält kan användare luras att tro att de rullar uppåt på sidan, när de i verklig mening rullar uppåt i rullningsfängelset.

Kanske en mer oroande konsekvens av falskt adressfältstrick på Android är att användare inte enkelt kan lämna webbsidan utan åtkomst till adressfältet.

Hittills finns det inga rapporterade fall av användare som förlorar känslig information till cyberbrottslingar som använder denna bar-phishing. trick, men nu när Fisher har rapporterat utnyttjandet kan dessa angripare använda den för att utföra stora nätfiske-kampanjer.

Hur upptäcker du en falsk adressfält i Chrome för Android?

När vi väntar på Google för att släppa en uppdatering som förhindrar sådana webbläsarövertaganden har vi föreslagit flera strategier för att hjälpa dig att hitta en falsk adressfält:

  • Ett av de mest effektiva sätten att upptäcka en falsk adressfält i Chrome för Android är att låsa din smartphone och sedan låsa upp den. Genom att göra detta tvingas din webbläsare att visa sin riktiga adressfält. Och om du står inför en phishing-attack kommer du att märka den falska adressfältet under den äkta. Du kan se dessa adressfält även om du har rullat ner.
  • Ett annat trick du kan använda för att avslöja det falska adressfältet på Android är att hålla ett öga på antalet som visas i flikikonen när du använder flera flikar. Här kommer den falska adressfältet att visa en felaktig siffra.
  • Med det nya mörka läget i Chrome för Android är det nu enkelt att upptäcka en falsk adressfält. När den här funktionen är aktiv blir den äkta adressfältet och alla gränssnittselement svarta medan den falska förblir vit, vilket gör det lättare att skilja den legitima adressfältet från den falska.
Håll dig säker

Förutom tipsen ovan är det också viktigt att skydda din telefon mot skadliga attacker. Använd en pålitlig booster-app för att utplåna skräp och optimera din telefon för bästa prestanda. Android-rengöringsverktyget tar hand om telefonens minne, prestanda, säkerhet och batteritid. Använd den här appen för att skydda din känsliga information när du surfar på din telefon med hjälp av offentligt Wi-Fi.

En sak att notera är att exploateringen bara är ett bevis på konceptet för tillfället. Men kom ihåg att det inte finns något som hindrar phishing-angripare från att använda sådana vektorer för att samla in information från intet ont anande användare.

För inte så länge sedan tog Fisher upp ett problem med Googles policy för Gmail-adresser. Policen "prickar spelar ingen roll" presenterar ett kryphål som bedragare kan använda för att skapa flera Gmail-konton med extra prickar. Google skiljer inte punkter i e-postadresser, men andra onlinetjänster känner igen dem. På grund av detta kryphål lurade bedragare flera Netflix-kontoägare.

Slutliga tankar

Google har ännu inte utfärdat ett officiellt svar på det falska adressfältet på Android, så det finns ingen information om när kryphålet kommer att fixas . Ändå bör ovanstående tips hjälpa dig att upptäcka en falsk adressfält i Chrome för Android och skydda din telefon från skadliga attacker. I alla fall lönar det sig att skydda dig mot alla former av nätfiskeattacker. Du bör vara mer försiktig när du surfar på webben med Chrome för Android. Se till att kolla in den här bloggen för att lära dig mer om hur du skyddar och optimerar din telefon för bästa prestanda.

YouTube-video: Detta kryphål i Chrome för Android gör att phishing-angripare kan lura användare med falsk adressfält

07, 2024