Heads-up Android kullanıcıları! Yeni bir kimlik avı saldırısı sizi bloke etmeye yöneliktir. Özellikle, Android cihazınızın tarayıcı sı...
Sahte Adres Çubuğu ile Android Kimlik Avı için Chrome
Bir geliştirici, Google Chrome tarayıcısında Android telefonlar için potansiyel bir güvenlik açığı bulunduğunu belirtti. Bu kusuru kullanmak, bir saldırganın yeni bir kimlik avı saldırısı yapmasına izin verebilir.
“Mobil kullanım için Chrome'da, kullanıcı aşağı kaydırdığında, tarayıcı URL çubuğunu gizler ve URL çubuğunun ekran alanını web sayfasına verir. Kullanıcı bu ekran alanını “güvenilir tarayıcı kullanıcı Arabirimi” ile ilişkilendirdiğinden, kimlik avı yapan bir site daha sonra kendi sahte URL çubuğunu - başlangıç çubuğunu göstererek farklı bir site olarak göstermek için kullanabilir! ”
Fisher, Android için Chrome'un URL'yi gizlemesinin hemen ardından, sayfanın tamamının 'kaydırma hapishanesine' geçtiğini açıklıyor. Böylece, kullanıcı sadece tarayıcı içindeki bir tarayıcı ile etkileşime girer.
“Chrome, URL çubuğunu gizlediğinde, tüm sayfa içeriğini“ kaydırma hapishanesine ”taşıyoruz - yani taşma: kaydırma ile yeni bir öğe.”
Potansiyel bir saldırgan, orijinal URL çubuğunun başka bir numara ile tekrar göründüğünü görmek için kullanıcının sayfanın üstüne ulaşmasını da engelleyebilir.
“Kaydırma hapishanesinin en üstüne çok uzun bir dolgu elemanı yerleştirdik. Daha sonra kullanıcı, dolguyu kaydırmaya çalışırsa, onları içeriğin başlangıcına geri kaydırırız! Sayfa yenileme gibi görünüyor. ”Fisher tarafından paylaşılan aşağıdaki video hilenin HSBC web sitesinde oynatırken nasıl çalıştığını göstermektedir.
Hiç yorum yok
Fikirlerinizi bizimle yorumlarda paylaşabilirsiniz.