Artículo:Revelan fallo en Chrome para móviles que permite sustituir la barra de direcciones por una falsa

Artículo publicado por nuestros compañeros de welivesecurity: 

Ver Link

Transcripción original:

En la app de Chrome para teléfonos móviles, si un usuario desliza verticalmente hacia arriba su dedo (lo que se conoce en inglés como hacer scroll hacia arriba), el navegador esconde la barra de direcciones con la URL del sitio en el que el usuario está. Sin embargo, esta acción, que busca ofrecer una mejor experiencia al usuario (sobre todo aquellos que utilizan dispositivos con pantallas pequeñas), puede ser manipulada por un sitio de phishing para engañar al usuario y mostrarle una falsa barra de dirección y mostrar una URL apócrifa.

Fuente: jameshfisher.com

Esta vulnerabilidad en la aplicación de Chrome la descubrió el desarrollador James Fisher, quien publicó en su sitio web los detalles de este hallazgo (al cual denomino “the inception bar”); y añadió que en caso de ser utilizado para ataques de phishing podría engañar a muchos usuarios al hacerles creer que está en un sitio web que en realidad no es tal.

Para ilustrar cómo funciona, el desarrollador elaboró un video en el cual creo una falsa barra de dirección con la URL de un reconocido banco. Sin embargo, si bien pareciera que la página que se muestra está alojada en el sitio del banco, en realidad está alojada en su sitio web: jameshfisher.com.

 

Según explica en su post, apenas el usuario hace scroll hacia arriba, Chrome enseguida vuelve a mostrar la verdadera barra de dirección con la URL legítima. Sin embargo, es posible engañar a Chrome para que no vuelva a mostrar la verdadera barra de direcciones y hacer que el usuario esté “atrapado” en el movimiento de scroll, en el que la víctima cree que está en su navegador, pero en realidad está en un navegador dentro de su navegador, explica Fisher.

Si bien para el video se utilizaron capturas de pantalla de un banco, el desarrollador explicó que con un poco más de trabajo es posible crear barras de direcciones interactivas falsas. Por lo tanto, si el usuario no cae en la trampa en la página actual, el atacante tendrá otra oportunidad en si el usuario coloca la dirección Gmail.com en la falsa barra de direcciones interactiva.Por si esto fuera poco, en caso de que el usuario vuelva al inicio de la página en busca de la barra de direcciones, un atacante puede agregar un elemento de relleno en la parte superior del sitio e incluso engañar al usuario al hacerle creer que la página se refrescó.

Este fallo en la app de Chrome para móviles de momento no se ha visto en acción por parte de actores maliciosos, pero sin dudas es algo que Chrome deberá analizar cómo utiliza la opción de esconder la barra de direcciones en móviles cuando el usuario hace scroll.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.