Esta brecha no Chrome para Android permite que atacantes de phishing enganem os usuários com a barra de endereços falsa (07.07.24)
No mundo dos navegadores, o Google Chrome é o melhor, - e por um bom motivo. Além de ser fácil de usar, o Google Chrome tem um ecossistema de extensões próspero, um conjunto de recursos robusto e tem versões para quase todas as principais plataformas. Como o Chrome é o navegador mais popular, alguns desenvolvedores nefastos podem vê-lo como uma avenida para obter informações confidenciais de usuários desavisados.
Vamos enfrentá-lo. A maioria das pessoas dificilmente verifica a autenticidade da barra de endereço do navegador. Para piorar ainda mais, o Chrome para Android oculta a barra de endereço após o carregamento de uma página. Portanto, se você não prestou atenção ao navegar em seu telefone, cuidado com a barra de endereços falsa no Android.
De acordo com o analista de segurança James Fisher, há um lapso no Google Chrome que pode permitir invasores de phishing para instalar uma barra de endereço falsa no Chrome para Android e ocultar a genuína.
O truque da barra de endereço falsa no Android foi expostoFisher mostrou em seu blog como os cibercriminosos podem fazer com que o conteúdo pareça estar hospedado no site do HSBC, uma organização respeitável.
Um hacker de phishing testaria o estado de alerta das vítimas em potencial com um falso barra de endereços no Chrome para Android. Para que essa exploração seja bem-sucedida, o invasor conta com a possibilidade de os usuários não estarem prestando atenção após rolar para baixo. Normalmente, quando você rola para baixo no Chrome para Android, a seção superior, que tem o botão de guias e a barra de endereço, desliza para cima para fornecer mais espaço para a página.
A barra de início, como Fisher chama isso também pode impedir que você visualize a barra de endereço real ao rolar para cima. Fisher enfatizou que, se o truque acima não enganar os usuários, um invasor de phishing pode usar um elemento de preenchimento que impede o Chrome no Android de exibir a barra de endereço quando os usuários rolar a tela. Normalmente, quando um usuário rola para cima, o Chrome para Android exibe novamente a barra de endereço real.
Fisher descobriu que, se o Chrome não exibir a barra de endereço genuína, é fácil para um atacante de phishing mover todo o conteúdo da página para uma prisão de rolagem. O resultado dessa exploração é uma página da web dentro de uma página da web. Como a página da web contém sua própria barra de rolagem, os usuários podem ser enganados ao pensar que estão rolando a página para cima, quando, na verdade, estão rolando para cima na prisão de rolagem.
Talvez uma implicação mais preocupante do O truque da barra de endereço falsa no Android é que os usuários não conseguem sair facilmente da página da web sem acessar a barra de endereço.
Até o momento, não há casos relatados de usuários que perderam informações confidenciais para criminosos cibernéticos usando este bar-phishing truque, mas agora que Fisher relatou a exploração, esses invasores podem usá-la para realizar campanhas de phishing em grande escala.
Como identificar uma barra de endereços falsa no Chrome para Android?Enquanto esperamos o Google lançar uma atualização que impeça tais invasões de navegador, sugerimos várias estratégias para ajudá-lo a localizar uma barra de endereço falsa:
- Uma das maneiras mais eficazes de detectar uma barra de endereço falsa no Chrome para Android serve para bloquear seu smartphone e, em seguida, desbloqueá-lo. Ao fazer isso, seu navegador será forçado a exibir sua barra de endereço real. E se você estiver enfrentando um ataque de phishing, notará a barra de endereço falsa abaixo do genuíno. Você pode ver essas barras de endereço mesmo se tiver rolado para baixo.
- Outro truque que você pode usar para descobrir o truque da barra de endereço falsa no Android é ficar de olho na contagem exibida no ícone de abas ao usar várias guias. Aqui, a barra de endereço falsa exibirá um número incorreto.
- Com o novo modo escuro no Chrome para Android, agora é fácil detectar uma barra de endereço falsa. Quando este recurso está ativo, a barra de endereço genuína e todos os elementos da IU ficarão pretos, enquanto a falsa permanecerá branca, tornando mais fácil distinguir a barra de endereço legítima da falsa.
Além das dicas acima, também é importante proteger o seu telefone contra ataques maliciosos. Use um aplicativo de reforço confiável para eliminar o lixo e otimizar seu telefone para um desempenho superior. A ferramenta de limpeza do Android cuida da memória, do desempenho, da segurança e da vida útil da bateria do seu telefone. Use este aplicativo para proteger suas informações confidenciais ao navegar em seu telefone usando Wi-Fi público.
Um ponto a ser observado é que o exploit é apenas uma prova de conceito por enquanto. Mas lembre-se de que não há nada que impeça os invasores de phishing de usar esses vetores para coletar informações de usuários desavisados.
Não faz muito tempo, Fisher levantou um problema com a política do Google para endereços do Gmail. A política de "pontos não importam" apresenta uma brecha que os golpistas podem usar para criar várias contas do Gmail usando pontos extras. Embora o Google não distinga os pontos em endereços de e-mail, outros serviços online os reconhecem. Por causa dessa brecha, os golpistas enganaram vários proprietários de contas do Netflix.
Considerações finaisO Google ainda não emitiu uma resposta oficial ao truque da barra de endereços falsa no Android, então não há informações sobre quando a brecha será corrigida . No entanto, as dicas acima devem ajudá-lo a identificar uma barra de endereço falsa no Chrome para Android e proteger seu telefone de ataques maliciosos. Em qualquer caso, vale a pena se proteger de todas as formas de ataques de phishing. Você deve ter mais cuidado sempre que estiver navegando na web usando o Chrome para Android. Não deixe de conferir este blog para saber mais sobre como proteger e otimizar seu telefone para obter o melhor desempenho.
Vídeo do youtube: Esta brecha no Chrome para Android permite que atacantes de phishing enganem os usuários com a barra de endereços falsa
07, 2024