Neuer Phishing-Trick in Google Chrome für Mobilgeräte

Entwickler James Fisher hat eine neue Methode für Phishing-Angriffe in den Mobilversionen des Google Chrome-Browsers entdeckt und gerade veröffentlicht. Hier ein paar Informationen zur ‘inception bar’ (Anfangsleiste) genannten Phishing-Methode.


Anzeige

Problem ist, dass die Mobilversion des Browsers die Adressleiste beim Scrollen ausblendet und eine Website dann das erneute Einblenden dieser Adressleiste mit einem Trick verhindern kann. Das Ganze wurde von James Fisher in diesem Blog-Beitrag dokumentiert. Dort schreibt er zum Problem:

Welcome to HSBC, the world’s seventh-largest bank! Of course, the page you’re reading isn’t actually hosted on hsbc.com; it’s hosted on jameshfisher.com. But when you visit this page on Chrome for mobile and scroll a little way, the page is able to display itself as hsbc.com – and worse, the page is able to jail you in this fake browser! In this post I show how the attack works, then suggest some ways Chrome can fix this vulnerability, then finally show you how to get out if you’re still stuck here. But first, the proof:

 
(Quelle: James Fisher)

Besucht jemand seine Seite mit dem Blog-Beitrag, bekommt er die URL der HSBC (hsbc.com) in der Adresszeile des Mobilgerätebrowsers angezeigt. Neowin.net hat hier eine animierte Fassung dieses Bilds veröffentlicht. 

Der Phishing-Ansatz

Scrollen Nutzer im Chrome-Browser auf ihrem Mobilgerät nach unten, um den Inhalt der Webseite zu sehen, blendet Chrome die Adressleiste der Mobil-App aus. Eine Phishing-Seite kann sich damit als eine andere Website ausgeben, indem sie ihre eigene gefälschte URL-Leiste anzeigt – die ‘Anfangsleiste’, wie Fisher schreibt. Das ist schon übel, aber es wird noch schlimmer.

Normalerweise, zeigt Chrome die wahre URL-Leiste erneut, wenn der Benutzer nach oben scrollt. Aber es gibt wohl die Möglichkeit, Chrome so auszutricksen, dass die wahre URL-Leiste nie wieder anzeigt wird. Sobald Chrome die URL-Leiste ausblendet, können die Phisher den gesamten Seiteninhalt in ein “Scroll-Gefängnis” – also ein neues Element mit overflow:scroll – verschieben. Dann denkt der Benutzer, dass er auf der Seite nach oben scrollt, aber tatsächlich scrollt er nur im “Scroll-Gefängnis” nach oben. Fisher hat hier ein Video des Phishing-Angriffs veröffentlicht. Nicht wirklich schön.


Anzeige


Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit Google Chrome, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Neuer Phishing-Trick in Google Chrome für Mobilgeräte


  1. Anzeige
  2. MK sagt:

    Firefox für Android hat das Problem nicht. Normalerweise blendet das wie Chrome die Adressleiste beim hoch und runterscrollen ein bzw. aus. Auf der Testseite aber nicht.

Schreibe einen Kommentar zu MK Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.