No aplicativo do Chrome para dispositivos móveis, se um usuário deslizar o dedo verticalmente para cima, o navegador ocultará a barra de endereços com a URL do site em que o usuário realmente está. No entanto, essa ação, que busca oferecer uma melhor experiência ao usuário (especialmente aqueles que usam dispositivos com telas pequenas), pode ser manipulada por um site de phishing para enganar o usuário e exibir uma barra de endereços falsa e apresentar uma URL apócrifa.

Fonte: jameshfisher.com

A vulnerabilidade no aplicativo do Chrome foi descoberta pelo desenvolvedor James Fisher, que publicou no seu blog pessoal os detalhes dessa descoberta (batizada como “the inception bar”). Ele acrescentou que, se fosse usado para ataques de phishing, poderia enganar muitos usuários, fazendo-os acreditar que estão navegando em um site no qual realmente não estão.

Para ilustrar como isso funciona, o desenvolvedor produziu um vídeo no qual crio uma barra de endereços falsa com o URL de um banco conhecido. No entanto, embora pareça que a página web exibida está hospedada no site do banco, na verdade, a página está hospedada em seu site: jameshfisher.com.

 

Conforme explicado em sua postagem, assim que o usuário rola para cima, o Chrome volta a mostrar a barra de endereços real com o URL legítimo. No entanto, é possível fazer com que o Chrome não mostre a barra de endereços real novamente, fazendo com o que o usuário fique "preso" no movimento de rolagem. A vítima acaba acreditando que está em seu navegador, mas na verdade é em um navegador dentro do seu navegador, explica Fisher.

Embora tenham sido usadas imagens de um banco para o vídeo, o desenvolvedor explicou que, com um pouco mais de trabalho, é possível criar barras de endereços falsas e interativas. Portanto, se o usuário não cair na armadilha na página atual, o atacante terá outra chance se o usuário colocar o endereço Gmail.com na barra de endereços interativa falsa. Se isso não bastasse, caso o usuário retorne à parte superior da página em busca da barra de endereços, um acatante pode adicionar um elemento de preenchimento na parte superior do site e até enganar o usuário para que ele acredite que a página foi atualizada.

Até o momento, esse bug no aplicativo do Chrome para dispositivos móveis não foi usado por atacantes, mas, sem dúvida, é algo que o Chrome deve analisar e verificar o uso da opção para ocultar a barra de endereços em dispositivos móveis quando o usuário rola a página.