کشف یک باگ امنیتی جدید در مرورگر کروم موبایل

تبهکاران سایبری نیازی به پیدا کردن باگ‌های فنی خیلی پیچیده برای اجرای حملات فیشینگ (سرقت اطلاعات کاربر از طریق ساختن یک وب سایت جعلی) ندارد و در اغلب موارد تنها چیزی که نیاز دارند، یک اسکرین شات از صفحه وب مورد نظر و کمی کدنویسی است.

به تازگی توسعه دهنده‌ای به نام جیمز فیشر یک باگ نسبتاً ساده در نسخه موبایلی مرورگر کروم پیدا کرده که از شیوه نمایش نوار آدرس در این اپلیکیشن استفاده یا به عبارت بهتر سوء استفاده می‌کند. حتماً می‌دانید که در مرورگر کروم در گوشی‌های هوشمند، هنگامی که به سمت پایین صفحه اسکرول می‌کنید، برای راحتی کار، نوار آدرس همچنان در بالای صفحه برایتان نمایش داده می‌شود. حال با استفاده از باگی که آقای فیشر کشف کرده، می‌توان به جای نوار آدرس اصلی یک نوار جعلی را به کاربر نشان داد، که این نوار آدرس جعلی تا وقتی وارد یک سایت دیگر نشده‌اید، ناپدید نخواهد شد. در این روش، هکرها می‌توانند یک وب سایت جعلی ساخته و آدرس جعلی آن را نیز در بالای صفحه نشان دهند تا از این طریق اطمینان شما را جلب کرده و اطلاعاتی را که وارد می‌کنید، به سرقت ببرند. مهاجمان حتی می‌توانند صفحه را به گونه‌ای کد نویسی کنند که در هنگام اسکرول کردن به سمت بالا نیز نوار آدرس واقعی از دید کاربر مخفی شده و همچنان آدرس جعلی برای وی به نمایش درآید.

روشی که فیشر برای این حمله سایبری فاش کرده، در حال حاضر تنها بر روی مرورگر کروم تمرکز دارد و هنوز در حد یک طرح مفهومی است، اما از لحاظ تئوری امکان استفاده آن در مرورگرهای دیگر و حتی اضافه کردن عناصر تعاملی به آن نیز وجود دارد. به عبارت دیگر، طراح حملات فیشینگ می‌تواند یک سایت جعلی با ظاهری کاملاً فریبنده را فراتر از محتوای صفحه اصلی ایجاد کند. برای اینکه در دام چنین حملاتی نیفتید، باید به آدرس اولیه‌ای که هنگام ورود به یک سایت نمایش داده می‌شود دقت کافی را داشته باشید؛ مسئله‌ای که البته تعداد بسیار کمی از کاربران به آن توجه دارند.

فعلاً گوگل به سؤالاتی که در این رابطه پرسیده شده، هیچ پاسخی نداده است و مشخص نیست که چه تعداد حملات فیشینگ با این روش یا روش‌های مشابه انجام شده است؟ البته ظاهراً روشی برای چک کردن آدرس واقعی سایت‌ها وجود دارد. تیم 9to5Google در بررسی‌های خود متوجه شده که با قفل کردن گوشی و باز کردن دوباره قفل آن، می‌توان نوار آدرس واقعی را مشاهده کرد. اما به هر حال، این روش تنها به عنوان یک راه‌کار موقت می‌تواند استفاده شود و البته بسیاری از کاربران گوشی‌های هوشمند از چنین ترفندهایی خبر ندارند و ممکن است به سادگی فریب سایت‌های جعلی را بخورند.

آخرین اخبار تکنولوژی را در وب سایت دیجی رو دنبال کنید
منبع engadget
مطالب مرتبط

دیدگاه خود را ثبت کنید

avatar