ثغرة في تطبيق كروم على أندرويد تتيح للمهاجمين عرض شريط عنوان مزيّف

اكتشف الباحث الأمني ​​جيمس فيشر طريقة تصيّد جديدة يمكن للمهاجم من خلالها أن يخدع مستخدمي الهواتف المحمولة عن طريق اظهار شريط عنوان  مزيّف.

تستغل الحيلة الطريقة التي يعمل بها متصفح كروم Chrome على أندرويد Android. حيث أنه عندما يقوم المستخدم بالتمرير الى الأسفل في صفحة ويب التي يتم زيارتها، يختفي شريط العنوان من تطبيق Chrome بحيث يمكن رؤية المزيد من محتوى الصفحة. استغلّ الباحث هذه النقطة لتنفيذ هجوم واجهة مستخدم UI وهمية.

في هذا الهجوم بتم عرض شريط URL مزيف مكان شريط العنوان الحقيقي. شريط عنوان URL هذا ماهو الا مجرد عنصر في الصفحة، لذلك يمكنه أن يكون أي شيء يريده المهاجم . يمكن أن يكون حتى صورة لشريط العنوان آخر. حيث يمكن للمهاجم استخدام صورة شريط عنوان موقع الويب الخاص بالبنك الخاص بك وعرضها لخداع المستخدم ودفعه للاعتقاد بأن الموقع أصلي.

يجب أن تكون قادراً على التحقق من شريط العنوان الحقيقي بمجرد التمرير مرة أخرى إلى أعلى صفحة الويب الخاصة التي تزورها، حيث سيعيد Chrome عرض شريط العنوان الحقيقي. لكن الباحث فيشر لديه خدعة لتفادي ذلك أيضا. والنتيجة هي صفحة ويب داخل صفحة ويب ، تحتوي على شريط التمرير الخاص بها.

ونشر فيشر مقطع فيديو موضحاً كيف تمكّن من خداع المتصفح ليوهم من يزور مدونته الخاصة أنه يتصفّح الموقع الإلكتروني لمصرف HSBC، الّا أنه في حقيقة الأمر يتصفح المدونة الخاصة بالباحث:

كيف نتجنّب هذا الهجوم؟ 

لتجنب السقوط ضحيةً لطريقة التصيّد هذه، يجب التحقق من شريط العنوان الحقيقي قبل التمرير الى الأسفل. على سبيل المثال يمكن الضغط على زر الرجوع في المتصفح أو إعادة تحميل صفحة الويب إذا كنت بالفعل في أسفل الصفحة.

أو يمكن دائماً تذكّر أنه إذا كان تطبيق Chrome يعرض شريط العنوان بينما نكون في منتصف الصفحة، فهذا يعني أنه هنالك شي مثير للريبة في صفحة الويب التي نزورها. لمعرفة المزيد عن هجمات التصيّد ننصح بقراءة هذا الدليل المفصّل من سلامتِك ويكي.

المصدر

 

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة