Um programador de software, James Fisher, descobriu uma forma relativamente simples de contornar a segurança da aplicação do Chrome para dispositivos mobile, sem a necessidade de hacks ou exploração de vulnerabilidades do sistema operativo. Para tal bastou utilizar aquilo que chama de “inception bar”, numa alusão ao filme de Christopher Nolan.
Basicamente, segundo explica, através de uma captura de imagem (do website verdadeiro) e algumas linhas de código web, é possível enganar as pessoas a navegaram numa página (do hacker), enquanto pensam que estão no website correto. Isto acontece pela forma como a aplicação mostra a barra de endereço no smartphone. Quando faz scroll da página para baixo, é exibida uma barra de endereço falsa, que não desaparece até que visite outro site.
Nesse sentido, os hackers podem criar uma página para que os utilizadores não vejam o endereço real quando fazem scroll novamente para cima, e ainda introduzir elementos interativos e convincentes (aquilo que chama de “scroll jail” ou Inception). O programador fez uma simulação deste exploit, levando o sistema a navegar no seu website, iludindo o utilizador de que estava no endereço de um banco. Assim, uma campanha de phishing elaborada, com uma página convincente, pode enganar o utilizador se este não tiver atenção ao endereço da página de início.
Num exercício ainda mais elaborado, James Fisher criou um elemento no topo, para que quando o utilizador tentasse fazer scroll até ao topo, a página voltava a descer, fazendo lembrar um simples refresh, trancando-o assim neste website de ilusão.
Ainda assim, é possível forçar o verdadeiro endereço, através do bloqueio do smartphone, que depois de desbloqueado volta a mostrar o endereço no browser. Mas para tal, o utilizador teria de “lembrar-se” de o fazer, caso desconfiasse do perigo. O programador pretende, desta forma, alertar a Google para o eventual problema e tomar as respetivas medidas de segurança.
Pergunta do Dia
Em destaque
-
Multimédia
25 anos do Observatório da Terra da NASA em 25 imagens e um vídeo -
Site do dia
Lummi é uma base de dados de imagens geradas e curadas por artistas de inteligência artificial -
App do dia
Uma dança de fogo e gelo que afinal é um jogo para guiar planetas ao ritmo da música -
How to TEK
Como desativar a opção de reescrita com o Copilot no Edge?
Comentários