Разработчик Джеймс Фишер (James Fisher) обнаружил уязвимость в браузере Google Chrome для мобильных платформ, предоставляющую новую возможность для фишинга. Метод заключается в использовании фальшивой адресной строки.
Он основан на поведении браузера в отношении адресной строки — когда пользователь прокручивает страницу вниз, Chrome скрывает адресную строку, предоставляя эту область web-странице, а при прокрутке вверх вновь отображает строку. Однако, как выяснил Фишер, возможно заставить браузер не показывать настоящую адресную строку, что позволит заменить ее фальшивой. При этом фальшивая адресная строка не исчезнет до тех пор, пока пользователь не перейдет на другой ресурс или не откроет меню браузера.
По словам разработчика, когда Chrome скроет адресную строку, содержимое страницы можно поместить в определенные рамки (Фишер называет это «scroll jail»), создавая своего рода браузер внутри браузера. Таким образом, пользователь будет думать, что прокручивает страницу вверх, но в действительности не сможет выйти за пределы «scroll jail».
Для придания большей реалистичности злоумышленники могут сделать адресную строку интерактивной или добавить поле большого размера вверху «scroll jail», что позволит предотвратить повторное отображение настоящей адресной строки — при попытке прокрутить страницу вверх пользователь будет снова возвращаться в «scroll jail», а визуально это будет выглядеть как обновление страницы, пояснил Фишер.
Источник: securitylab.ru
