Descubren una vulnerabilidad en Google Chrome que podría usarse para falsificar la barra de direcciones

Adaptive
|
07 de Mayo de 2019
Descubren una vulnerabilidad en Google Chrome que podría usarse para falsificar la barra de direcciones

En la versión de Google Chrome para móviles cuando se desliza el dedo hacia arriba por la pantalla para continuar leyendo (lo que se conoce en inglés como hacer scroll) la dirección URL del sitio web se oculta.

Con este concepto en mente, te contamos que hace algunos días, el desarrollador James Fisher descubrió un error en la app de Chrome para móviles que permite suplantar esa barra de direcciones legítima por una falsa imagen de la barra de direcciones cuando el usuario hace scroll.

“Este detalle en el diseño puede ser utilizado para un cibercriminal para mostrar una URL falsa y orquestar un ataque de phishing”, dijo Jim Fisher en su blog.

Fisher mostró en un video que creó una falsa barra de direcciones con la URL de un banco, e incluso con el certificado HTTPS por lo que para hacer el engaño basta con conocer algo de programación y diseño.

Según explica en su post, apenas el usuario hace scroll hacia arriba, Chrome enseguida vuelve a mostrar la verdadera barra de dirección con la URL legítima. Sin embargo, es posible engañar a la app para que no vuelva a mostrar la verdadera barra de direcciones y hacer que el usuario esté “atrapado” en el movimiento de scroll, en el que la víctima cree que está en su navegador, pero en realidad está en un navegador dentro de su navegador, explica Fisher.

Tambien explicó que con un poco más de trabajo es posible crear barras de direcciones interactivas falsas. Por si esto fuera poco, en caso de que el usuario vuelva al inicio de la página en busca de la barra de direcciones, un atacante puede engañar al usuario al hacerle creer que la página se refrescó.

Aunque todavía no se reportaron engaños utilizando esta técnica, el hallazgo de Fisher sirvió para alertar sobre esta falla. De igual manera si queires comprobar si quieres comprobar si estas dentro del sitio que quieres visitar o no, se puede probar bloqueando y desbloqueando el dispositivo con el Chrome abierto, esto mostrará la verdadera URL del sitio por el cual estas navegando.

Imagenes tomadas de: www.pexels.com y jameshfisher.com

Con información de: welivesecurity.com y jameshfisher.com