Ne každý den slyšíme o úplně inovativním způsobu útoku. James Fisher, vývojář a autor aplikace Vidrio, popsal, jak by mohl vypadat nový typ phishingu mířící na mobilní Chrome. Přece jen, Chrome platí za nejrozšířeněji prohlížeč (dnes má zhruba 63% podíl používanosti) a smartphony jsou dnes naší běžnou branou k internetu.
Útok využívá toho, že se adresní řádek prohlížeče schová, když se po stránce posunete dolů. Není to unikátní chování, ale jak jsem uvedl, Chrome je dnes přinejmenším nejzajímavější cíl. V momentě, kdy se posunete dolů a adresní řádek prohlížeče se skryje, skript na stránce do horní části stránky dosadí vlastní adresní řádek. Není samozřejmě reálný, ale vypadá reálně.
Případný útok tak zneužije místo, na které prohlížeče v posledních letech kladou důraz. Důvěryhodné domény se snaží zvýraznit. Instituce – typicky banky – pak běžně samy upozorňují, abyste si obsah řádku zkontrolovali. Vidíte zámek či jiný zelený indikátor? Sedí adresa stránky? Nový typ útoku má ambice oklamat i ty zkušenější a přesvědčit je, že se nachází např. na legitimní přihlašovací stránce k internetovému bankovnictví.
Hrátky s adresním řádkem
Situace je o to horší, že když se posunete zase nahoru, skutečný adresní řádek Chromu se už nevysune, byť k tomu za běžných okolností dojde. Jak to funguje, si můžete sami ověřit na výše odkazovaném článku, kde je pro ukázku falešný adresní řádek implementován. Objeví i v jiných prohlížečích, jen např. na počítači ve Firefoxu vás jen tak neošálí. Dle Hacker News jiné mobilní prohlížeče znovu ukáží původní adresní řádek při posunu směrem nahoru.
[video width="718" height="632" webm="https://www.cnews.cz/wp-content/uploads/2019/04/chrome-mobil-phishing-adresni-radek.webm"][/video]
Je ovšem možné detekovat typ prohlížeče a zobrazit falešný adresní řádek jen tam, kde útočící subjekt chce. K uzamčení do oblasti s falešným řádkem, ze které není úniku, je použit prvek kaskádových stylů overflow:scroll. Toho, že se znovu neobjeví originální adresní řádek, lze dosáhnout tak, že je v horní části stránky použita vlastnost padding, pomocí které je do horní části stránky vložen velký prostor.
Proto když se posunete nahoru, použitá vlastnost vás posune zpět dolů, což připomíná obnovu stránky. Navíc je podle Fishera možné falešný řádek učinit interaktivním. Nehovoříme tudíž o klasické díře v kódu, přesto je zjevné, že by podobný útok mohl napáchat škody. Diskutující na Hacker News poukazují na to, že podobné útoky s vkládáním falešného obsahu nejsou nové. Fisher nicméně ukázal, jak chování Chromu využít ve svůj prospěch.
Vlastní malý test
Je potřeba říct, že zmíněný koncept není dokonalý. Firefox svůj adresní řádek znovu zobrazí, byť jednou se mi stalo, že nikoli. Ne vždy pak originální řádek zůstane skrytý ve Chromu. Zřejmě záleží na tom, jak rychle (a chaoticky) se po stránce pohybujete. Edge útoku podlehl a svůj řádek při malém testu už znovu neukázal.
Galerie: jak útok funguje v různých prohlížečích?
Zdroj: James Fisher (via Thurrott.com)