Android

30 avril 2019 22:10; Act: 30.04.2019 22:10 Print

Fausse barre d'adresse pour berner l'internaute

Un développeur a créé un hack étonnant sur le navigateur web Chrome pour mobile afin d'attirer l'attention sur les risques potentiels de hameçonnage.

Une faute?

Une nouvelle attaque potentielle met en lumière les risques liés au masquage de la barre d'adresse sur le navigateur Chrome sur Android, une fois qu'une page web est chargée, dans le but d'étendre l'espace d'affichage. Mise au point par le développeur Jim Fisher, ce hack surprenant tire parti d'une fausse barre d'adresse qui se substitue à la principale. Dans sa démonstration de fonctionnement, elle affiche une prétendue connexion sécurisée https au site web de la banque britannique HSBC. Un pirate pourrait en tirer profit pour une attaque de phishing (hameçonnage) afin de soutirer des données personnelles à la victime.

Dans un billet de blog, le développeur détaille une autre technique qui empêche au navigateur Chrome de Google d'afficher de nouveau la vraie barre d'adresse en coinçant l'utilisateur dans un navigateur imbriqué dans Chrome. «Normalement, lorsque l'utilisateur scrolle vers le haut, Chrome affiche à nouveau la barre URL réelle. Mais nous pouvons tromper Chrome pour qu'il ne réaffiche jamais la vraie barre URL. Une fois que Chrome cache la barre URL, nous déplaçons tout le contenu de la page dans un "scroll jail", c'est-à-dire un nouvel élément avec overflow:scroll. Puis l'utilisateur pense qu'il fait défiler la page vers le haut, mais en fait, il ne fait que défiler vers le haut dans la prison du scroll.»

L'attaque potentielle a été baptisée Inception, en référence au film de science-fiction de Christopher Nolan avec Leonardo DiCaprio. «Comme un rêve dans "Inception", l'utilisateur croit qu'il est dans son propre navigateur, mais il est en fait dans un navigateur de son navigateur», explique James Fisher.

(man)