Exploit no Chrome usa barra falsa de URL para ataques de phishing
Por Rafael Arbulu | •
Uma série de testes de conceito executados pelo desenvolvedor e especialista James Fisher identificou uma falha de segurança dentro da versão móvel do Google Chrome que, em tese, pode permitir que hackers executem campanhas de phishing e construam páginas falsas com ainda mais verossimilhança, enganando ainda mais pessoas.
A abordagem de Fisher não registrou nenhum caso de vítima real, mas o exploit faz alto uso da falta de atenção do usuário: basicamente, o problema está na barra de URL, onde o endereço de um site é exibido.
Funciona assim: no Chrome para smartphones, quando você rola a tela do seu navegador, o método usado por Fisher “engana” o software, fazendo-o mostrar uma espécie de “endereço falso” que só muda quando você vai para outra página. Veja abaixo um vídeo em que o próprio site de Fisher tem sua URL trocada por uma falsa "HSBC.com".
Teoricamente, hackers poderiam tirar vantagem disso e redirecionar os usuários mais desavisados para páginas de seu interesse, fornecendo dados variados e fazendo-os cair em golpes de phishing com variadas intenções. Geralmente, é dessa forma que senhas e numerações de cartão de crédito caem em mãos erradas, por exemplo.
Fisher agora está tentando reproduzir o mesmo conceito em outros navegadores. Segundo o site 9to5google, a única forma de prevenir isso é por meio de uma “gambiarra” de ações: se o usuário travar e destravar o smartphone no meio da navegação, isso teoricamente forçaria o Chrome a exibir a URL real de um site.
Vale citar, porém, que o formato da URL raramente é um ponto em que o usuário mais casual se atenta quando navega na internet. Assim sendo, o potencial de vítimas de ataques dessa falha no futuro é bem grande.
A Google foi notificada pelo desenvolvedor e por alguns canais de imprensa especializada, mas ainda não se manifestou.
Fonte: 9to5Google