De manière générale, nous faisons confiance à la barre d’adresse de notre navigateur pour savoir si un site sur lequel nous sommes est légitime ou non. Un développeur a démontré un exploit sur Chrome pour Android permettant d’afficher une fausse barre d’adresse complète et ainsi vous faire croire que vous êtes sur un site Web légitime.

Publié sur son blog personnel, le développeur Jim Fisher a pu démontrer publiquement qu’un site Web pouvait facilement remplacer la barre d’adresses et l’interface utilisateur de Chrome pour Android.

En règle générale, lorsque vous faites défiler une page dans Chrome pour Android, l’interface utilisateur supérieure avec votre barre d’adresse et le bouton d’onglets est masquée. Ce que Fisher a découvert, c’est que vous pouvez «emprisonner» le défilement de la page, ce qui vous permet de faire défiler la page sans que Chrome pour Android ne réaffiche son interface utilisateur.

Ensuite, lorsque vous essayez de faire défiler l’écran vers le haut, la page peut afficher l’image d’une fausse barre d’adresses en haut de l’écran, là où se trouve normalement l’interface utilisateur de Chrome pour Android, avec une URL complètement différente, y compris l’icône du verrou “de page sécurisée”.

Pour aider à donner une idée de ce à quoi cela ressemble, Fisher a inclus une démonstration visuelle de l’exploit de barre d’adresse en action. Dans la vidéo de l’exploit, vous pouvez voir la barre d’adresse réelle qui indique que «jameshfisher.com» est échangé contre un faux qui indique «hsbc.com».

L’un des aspects les plus préoccupants de cet exploit est qu’il est impossible de quitter la page sans accéder à la barre d’adresses de Chrome pour Android. Cela devrait être aussi simple que d’appuyer sur le bouton «Précédent» de votre appareil, mais de nombreux sites Web ont montré à quel point il était facile de remplacer le bouton Précédent de votre navigateur (bien que Google dispose d’un correctif en cours d’élaboration).

Actuellement, le meilleur moyen de vérifier si votre barre d’adresse a été falsifiée est de verrouiller votre téléphone, puis de le déverrouiller. Cela devrait obliger Chrome pour Android à afficher sa barre d’adresse réelle et à laisser le faux affiché en dessous. Pour tester l’exploit par vous-même et en apprendre davantage sur son fonctionnement, consultez le blog de Fisher dans Chrome pour Android.

Source et image : https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/ et codesmithdev.com

Accéder aux commentaires