Розробник Джеймс Фішер (James Fisher) виявив уразливість у браузері Google Chrome для мобільних платформ, яка дає нову можливість для фішингу. Метод полягає у використанні фальшивого адресного рядка.
Коли користувач прокручує сторінку вниз, Chrome приховує адресний рядок, надаючи цю область web-сторінці, а при прокручуванні вгору знову відображає рядок. Однак, як з’ясував Фішер, є можливість змусити браузер не показувати справжній адресний рядок, що дозволить замінити її фальшивим. При цьому фальшивий не зникне до тих пір, поки користувач не перейде на інший ресурс або не відкриє меню браузера.
За словами розробника, коли Chrome приховує адресний рядок, вміст сторінки можна помістити в певні рамки (Фішер називає це “scroll jail”), створюючи браузер всередині браузера. Таким чином, користувач буде думати, що прокручує сторінку вгору, але в дійсності не зможе вийти за межі “scroll jail”.
Для надання більшої реалістичності зловмисники можуть зробити адресний рядок інтерактивним або додати поле великого розміру вгорі “scroll jail”, що дозволить запобігти повторному відображенню справжнього адресного рядка – при спробі прокрутити сторінку вгору користувач буде знову повертатися в “scroll jail”, а візуально це буде виглядати як оновлення сторінки, пояснив Фішер.
До речі, незважаючи на те, що Facebook і Twitter неодноразово видаляли фейкові екаунти з їхніх соціальних медіа-платформ, кількість таких облікових записів зросла на 56% у 2018 році порівняно з 2017 роком.
Нагадаємо, експерти організації Digital Citizens Alliance (DCA) і компанії Dark Wolfe Consulting вивчили пристрої для перегляду піратського відеоконтенту. З усіх проаналізованих експертами пристроїв, що дозволяють безкоштовно переглядати платні серіали через піратські програми, 40% виявилися заражені шкідливим ПЗ.
Також телевізори Sony Smart TV, що працюють на платформі Android, мають дві уразливості, що дозволяють отримати доступ до Wi-Fi і мультимедійного контенту, що міститься на пристрої. Проблеми зачіпають і флагманську лінійку Bravia.
Окрім цього, уразливість в процесорах Qualcomm дозволяє зловмисникам отримати з безпечного середовища виконання ключі шифрування і інші важливі дані, повідомляють дослідники компанії NCC Group.
