30 Апреля, 2019

Как определить поддельную адресную строку в Chrome под управлением OS Android

Владимир Безмалый

Мошеннические страницы логина – распространенный метод фишинга учетных записей пользователей. Увы, но, если веб-сайт выглядит законным, вы можете легко начать вводить свое имя пользователя и пароль, не проверяя правильность URL-адреса и законность веб-сайта.

Как доказал разработчик Джим Фишер , не так давно появилась новая проблема, показавшая насколько просто использовать для сайта поддельную адресную строку, которая заставит вас думать, что вы находитесь на подлинном сайте.

Обычно вы можете взглянуть на значок замка слева от адресной строки, чтобы выяснить, является ли веб-сайт аутентичным или нет. Однако не следует слепо доверять этой маленькой графике, поскольку фишеры разработали для мобильных веб-страниц способ отображения в Chrome поддельных полос URL-адресов, включающих значок замка и URL-адрес замены. Эта «начальная строка», как ее называют, заменяет реальную адресную строку в окне просмотра. Если вы не уделяете много внимания, вы можете предположить, что ваш браузер работает так, как задумано.

Весь этот трюк возможен, потому что пользовательский интерфейс в мобильной версии Chrome часто исчезает при прокрутке страницы, и разработчики веб-сайта могут переопределить и предотвратить повторное появление пользовательского интерфейса, включая строку URL. Как описывает Фишер:

Это плохо, но становится хуже. Обычно, когда пользователь прокручивает вверх, Chrome повторно отображает строку истинного URL. Но мы можем обмануть Chrome, чтобы он никогда не отображал реальную строку URL! Как только Chrome скрывает панель URL, мы перемещаем все содержимое страницы в «scroll jail», то есть новый элемент с переполнением: прокрутка. Затем пользователь думает, что он прокручивает страницу вверх, но на самом деле он прокручивается только в scroll jail! Как мечта в начале, пользователь считает, что они в своем собственном браузере, но на самом деле они в браузере в своем браузере.

Но это становится еще хуже! Даже с указанным выше «scroll jail» пользователь должен иметь возможность прокрутки до вершины scroll jail, после чего Chrome снова отобразит строку URL. Но мы можем отключить и это поведение! Мы вставляем очень высокий элемент заполнения в верхней части свитка. Затем, если пользователь пытается прокрутить отступы, мы прокручиваем их обратно до начала содержимого! Это выглядит как обновление страницы.

Google работает над исправлениями для этого умного кодирования , но у вас еще есть несколько хитростей для выявления этих надоедливых начальных полос:

  • Вы можете заставить приложение Chrome отображать пользовательский интерфейс, даже если веб-сайт обычно его блокирует. Все, что вам нужно сделать, это заблокировать экран телефона, пока открыто приложение Chrome, а затем разблокировать его. Это сбрасывает окно приложения Chrome, чтобы отобразился пользовательский интерфейс. Если URL-адрес является поддельным, вы увидите две строки URL-адреса: одна сверху — это истинный URL, а вторая снизу — начальная панель.
  • Если вы просматриваете с несколькими открытыми вкладками, внимательно следите за числом, отображаемым на значке вкладок. Строки ввода часто показывают неправильные значения.
  • Новый темный режим в Chrome Android также облегчает обнаружение начальных полос. Когда темный режим включен , панель URL и другие элементы пользовательского интерфейса будут черными, поэтому (поддельные) белые полосы URL легче обнаружить — или наоборот, если вы используете обычную тему интерфейса мобильного Chrome и поддельный URL-адрес черный , Это также верно при использовании режима чтения , более простых режимов пользовательского интерфейса или альтернативных тем в Chrome Mobile, которые изменяют внешний вид панели URL.