Um programador de software, James Fisher, descobriu uma forma relativamente simples de contornar a segurança da aplicação do Chrome para dispositivos mobile, sem a necessidade de hacks ou exploração de vulnerabilidades do sistema operativo. Para tal bastou utilizar aquilo que chama de “inception bar”, numa alusão ao filme de Christopher Nolan.

Basicamente, segundo explica, através de uma captura de imagem (do website verdadeiro) e algumas linhas de código web, é possível enganar as pessoas a navegaram numa página (do hacker), enquanto pensam que estão no website correto. Isto acontece pela forma como a aplicação mostra a barra de endereço no smartphone. Quando faz scroll da página para baixo, é exibida uma barra de endereço falsa, que não desaparece até que visite outro site.

Nesse sentido, os hackers podem criar uma página para que os utilizadores não vejam o endereço real quando fazem scroll novamente para cima, e ainda introduzir elementos interativos e convincentes (aquilo que chama de “scroll jail” ou Inception). O programador fez uma simulação deste exploit, levando o sistema a navegar no seu website, iludindo o utilizador de que estava no endereço de um banco. Assim, uma campanha de phishing elaborada, com uma página convincente, pode enganar o utilizador se este não tiver atenção ao endereço da página de início.

tek chrome
tek chrome

Num exercício ainda mais elaborado, James Fisher criou um elemento no topo, para que quando o utilizador tentasse fazer scroll até ao topo, a página voltava a descer, fazendo lembrar um simples refresh, trancando-o assim neste website de ilusão.

Ainda assim, é possível forçar o verdadeiro endereço, através do bloqueio do smartphone, que depois de desbloqueado volta a mostrar o endereço no browser. Mas para tal, o utilizador teria de “lembrar-se” de o fazer, caso desconfiasse do perigo. O programador pretende, desta forma, alertar a Google para o eventual problema e tomar as respetivas medidas de segurança.