reklama

Chrome pro Android nezabrání phishingovému útoku s využitím „inception bar“

Chrome pro Android nezabrání phishingovému útoku s využitím „inception bar“
2019-04-29T07:59:10+02:00
• 29. 4. 2019
1

Aplikace nemusí být vždy dokonalé. Některé obsahují závažné bezpečnostní chyby, jiné umožňují zneužití kvůli nedostatečné architektuře. Stačí zmínit například nedávný problém u webových prohlížečů od společnosti Xiaomi. Nyní se ukazuje, že i Chrome pro Android může vést k phishingovému útoku. Tedy podvrhnutí webové stránky za účelem získání soukromých dat.

„Inception bar“

Chrome pro Android patří mezi jedny z hlavních produktů společnosti Google, přičemž existuje program na hledání chyb a nedostatků. Za objev a případné řešení Google nabízí i finanční odměnu. Bezpečnostní analytici hledají sofistikované řešení jak zneužít chybu aplikace, mnohdy se jedná o nedostatek ve zdrojovém kódu. Nyní zde máme ale ukázku, která je založená na základech HTML a CSS.

Vše je spojeno s nativním chováním Chromu pro Android. Jakmile začnete skrolovat (posouvat) stránku dolů, automaticky dojde ke schování adresního řádku společně s hlavními ovládacími prvky. Vývojář James Fisher ale našel způsob, jak toto chování zneužít. V podstatě použil HTML element s povoleným skrolováním, díky čemuž si může uživatel myslet, že se posouvá na stránce, ale ve skutečnosti se posouvá v malém elementu a stránka jako taková se neposouvá, jen na svém počátku a to jen o malý kousek.

Následně když chce uživatel posunout stránku na začátek, tak se posune jen v daném elementu. Na to zareaguje JavaScript a zobrazí falešný adresní řádek společně s ovládacími prvky. Ukázku můžete vidět výše, kdy je uživatel stále na jedné stránce, ale falešný prvek Chromu zobrazuje, že je na stránkách britské banky.

My jsme otestovali speciálně upravenou stránku a skutečně tento trik funguje. V našem případě je zde ale menší problém, s kterým James Fisher nepočítal, aspoň pro ukázku. Chrome na redakčním zařízení má nastavený tmavý režim, ale následný „inception bar“ je světlý. Kromě toho máme nastavený jiné rozmístění ovládacích prvků. Zde tedy záleží na pozornosti uživatele, ale vzhledem k tomu, že většina uživatelů má ještě běžnou verzi prohlížeče, je možné zneužití vetší.

Je zde dost možností, jak obelstít uživatele, aby si myslel, že se nachází na zabezpečením webu. Zde se tedy naskýtá hodně možností, jak tuto techniku zneužít. James Fisher jen vytvořil ukázku, co jde docílit na Chromu pro Android. Do této chvíle nebylo zjištěno, že by se tato technika nazvaná „inception bar“ nějak rozšířila. Google zřejmě bude muset zapracovat na aplikaci, aby mohla předejít tomuto chování.

Zdroj: androidpolice.com

reklama
reklama

Přemysl Vaculík

Androiďák, šéfredaktor, tvůrce @dotekomanie a +dotekomanie.cz. Také milovník adrenalinových sportů, na které nemá čas.

Komentáře

Tadeáš Pospíšil (Britanian man)

29. 4. 2019, 10:47
Android aplikace

No ale jak tomu chtějí zabránit?

Dotekománie.cz

Přidat komentář

Pro komentování se musíte přihlásit