Un ricercatore indipendente mette in allerta gli utenti di Chrome per Android (vedere Google Chrome per Android: trucchi e segreti): sfruttando una tecnica semplice ma allo stesso tempo estremamente efficace, è possibile porre in essere attacchi phishing efficaci facendo credere all’utente di trovarsi su un sito web diverso da quello davvero visitato.
Provate a visitare questa pagina da Chrome utilizzando il vostro dispositivo mobile: non appena si comincerà a scorrere il sito, nella parte superiore della schermata comparirà l’indirizzo di HSBC, il settimo istituto di credito a livello mondiale.
Jim Fisher spiega che quello che si sta visitando, ovviamente, non è il sito della famosa banca ma una pagina del suo blog personale. La tecnica individuata e battezzata “Inception bar” fa leva sul comportamento predefinito di Chrome che, per ampliare l’area visibile, nasconde la barra degli indirizzi con una semplice operazione di scrolling.
Fisher spiega che l’intera pagina viene spostata in un elemento con la proprietà CSS overflow:scroll
: in questo modo l’utente ritiene di effettuare lo scrolling sull’intera pagina quando in realtà sta agendo solo su un “contenitore” che ingabbia la pagina utilizzabile per attività truffaldine.
Di norma, effettuando lo scrolling verso l’alto, Chrome per Android torna a mostrare l’URL originale ma Fisher ha verificato come tale comportamento sia facilmente alterabile mostrando sempre l’URL fasullo in bella vista (nella fattispecie, basta usare un elemento padding molto alto nella parte superiore della pagina “ingabbiata”).
In attesa delle contromisure da parte di Google, quello presentato da Fisher si rivela indubbiamente un espediente al momento davvero molto efficace. Attenzione quindi, ancora una volta, a non cadere in qualche nuova trappola tesa dai criminali informatici.