Veiligheidsprobleem in adresbalk mobiele versie Google Chrome ontdekt
Phishing-aanvallen zijn alomtegenwoordig en komen voor in allerlei verschillende vormen. Ze zijn vaak te herkennen aan enkele kleine details, maar als je die niet ziet, dan kunnen hackers aan de haal gaan met jouw persoonlijke gegevens. Ontwikkelaar James Fisher heeft een wel heel gevaarlijk veiligheidsprobleem ontdekt dat zich bevindt in de adresbalk van Google Chrome voor mobiele toestellen.
Dat probleem met de adresbalk zit ingebouwd in de mobiele versie van Google Chrome (voor smartphones, tablets en Chromebooks). Als je in die versie van Chrome naar beneden scrolt, dan verdwijnt je adresbalk normaalgezien en als je weer naar boven scrolt dan verschijnt deze opnieuw. Fisher wist handig gebruik te maken van deze functie door zijn kennis als softwareontwikkelaar. Door een combinatie van bepaalde elementen op een webpagina kon hij als het ware de URL in de adresbalk vervangen door een foutieve URL van een andere website.
Op een normale webpagina zou de juiste URL van de website echter opnieuw verschijnen als je naar boven scrolt, maar door bepaalde elementen aan te brengen op de webpagina wist Fisher dit te voorkomen. Eens gebruikers dus ver genoeg naar beneden gescrold zijn zodat de valse adresbalk verschijnt, kunnen zij alleen nog dat webadres zien totdat ze handmatig naar een andere website surfen.
Nuttig voor phishing?
Voor phishing-aanvallen is een dergelijk exploit enorm nuttig. Zo kan je via een link in een e-mail naar een webpagina met een verdachte URL gebracht worden. Als je vervolgens een keertje naar beneden scrolt, kan die verdachte URL dus vervangen worden door de URL van de officiële website die de hackers proberen na te bootsen.
Google zelf heeft momenteel nog geen commentaar gegeven op de exploit. Als je meer zou willen weten over de werking van deze valse adresbalken, kan je het blogbericht van James Fisher bekijken, waarin hij aantoont hoe hij te werk is gegaan.
