Una delle funzionalità implementate da Google nella versione mobile di Chrome, quella che nasconde automaticamente la barra dell’indirizzo effettuando lo scrolling delle pagine (così da aver più spazio a disposizione per i contenuti) può potenzialmente essere sfruttata da un malintenzionato per trarre in inganno l’utente. È quanto scoperto e condiviso dallo sviluppatore Jim Fisher.

Chrome, attenzione alla barra dell’indirizzo

La tecnica descritta potrebbe essere messa in atto, ad esempio, per portare a termine un attacco di phishing, facendo credere al malcapitato di trovarsi su un sito autorevole mentre ne visita uno completamente di altra natura, così da indurlo a digitare informazioni personali, credenziali di login o dati relativi ai metodi di pagamento. Con poche linee di codice è infatti possibile mostrare una barra dell’indirizzo fasulla, con tanto di contatore delle schede aperte e pulsante per l’attivazione del menu, che si aggancia al bordo superiore dello schermo non appena si inizia a effettuare lo scrolling, senza più dar possibilità di tornare a vedere quella autentica, nemmeno risalendo in cima alla pagina. Il risultato è quello visibile nello screenshot allegato di seguito: pur trovandosi su jameshfisher.com, si legge hsbc.com, dominio appartenente a uno dei più importanti gruppi bancari al mondo.

Una finta barra dell'indirizzo per Chrome su mobile

Al momento gli unici modi disponibili per far ricomparire la barra dell’indirizzo autentica consistono del bloccare-sbloccare il dispositivo e nel passare a un’altra applicazione per poi tornare a Chrome. Li abbiamo verificati e sembrano entrambi funzionare. Si dovrebbe poterlo fare anche con un tap sul pulsante Indietro, ma come scritto su queste pagine qualche mese fa alcuni webmaster alterano la cronologia di navigazione in modo da impedire all’utente di tornare alle pagine precedenti abbandonando quella visitata. Ci aspettiamo che Google, presa coscienza del problema e delle sue possibili implicazioni in termini di sicurezza, possa intervenire in una delle prossime release del browser con un update correttivo, così da impedirne l’abuso.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    se invece di inventarsi l'ennesimo workaround, google facesse quel che va fatto ( UI non overridabile ,a meno che non vengano cambiati i parametri nella cfg)... :-P hei si, vale anche per mozilla e apple
Fonte: Jim Fisher
Chiudi i commenti