Hoje em dia, os scams na internet acontecem literalmente todos os dias, especialmente quando estamos no smartphone e menos atentos. Normalmente, uma boa prática de segurança é consultar constantemente o URL que estamos a visitar. Mas a partir de agora, isso poderá não ser suficiente!
Um developer — James Fisher — deparou-se com uma possível falha de segurança do Google Chrome que poderá facilmente ser explorada por hackers de forma a implementar ataques phishing. Essencialmente, conseguiu de forma bastante simples, fazer com que o Google Chrome para Android apresenta-se uma barra de URL com um endereço que não o real.
Para provar o seu conceito, replicou a experiência no seu próprio site pessoal, onde os utilizadores poderiam ser enganados a pensar que estariam no site do popular banco HSBC. Fisher chamou esta ferramenta de 'The inception bar', claramente inspirado no popular filme com Leonardo DiCaprio, e vai ser fácil perceberes porquê.
Como funciona esta 'The inception bar' e, porque é tão perigosa!
Quando se entra visita uma página no Google Chrome para Android, o cabeçalho onde é apresentado o URL desaparece assim que faças um pouco de scroll para baixo. Ainda que quando voltas ao topo da página o browser apresenta novamente a barra original, Fisher encontrou uma forma bastante fácil para impedir que isso aconteça, apresentando uma barra com um URL falso.
A forma como descreveu este processo é assustadoramente simples, explicando que basicamente 'prende' o utilizador dentro de uma 'prisão de scroll'. Ou seja, é como se ficasse encurralado num browser dentro do seu próprio browser, sem saber que isso está a acontecer.
Ao adicionar um espaço em branco no topo desta 'prisão'. Não só consegue impedir que o Google Chrome volte a apresentar o cabeçalho original, mas acaba por conseguir simular de certa forma a animação da atualização da página.
Levando esta situação para um patamar ainda mais grave, James Fischer afirma que com um pouco mais de trabalho, não será difícil tornar este cabeçalho falso totalmente interativo.
Hackers poderão tirar proveito desta vulnerabilidade para implementar pishing scams que poderão colocar em risco milhões de utilizadores, sem que estes tenham possibilidade de se defenderem.
O que é um Phishing Scam?
Este tipo de scam é habitualmente muito simples, e tem como objetivo principal conseguir adquirir informações pessoais das suas vítimas. Mais concretamente, engana as vítimas apresentando uma réplica de uma página de login de uma instituição (banco, rede social, paypal, etc.), fazendo com que os utilizadores revelem os seus dados de login pensando que estão a aceder à sua conta.
Até agora, uma das formas mais eficazes de evitar estas situações é através da verificação do URL da página. No entanto, ao aplicar esta inception bar, isso deixará de ser possível.
Como te podes proteger deste tipo de scam?
Sinceramente, é quase impossível protegeres-te contra este esquema, caso comece a ser implementado. Ao bloqueares/desbloqueares o teu smartphone, quando o Google Chrome volta a ser apresentado, é possível ver as duas barras de endereço em simultâneo. No entanto, a menos que comeces a suspeitar de (literalmente) todas as páginas que visitas, é quase impossível dar conta deste acontecimento.
Até agora ainda não surgiu nenhum tipo de indicação que esta vulnerabilidade do Google Chrome está a ser explorada por hackers. Esperemos então que as revelações de James Fischer permitam à empresa de Mountain View corrigir esta falha, antes que comecem a surgir dezenas de esquemas a atacar os utilizadores.
Editores 4gnews recomendam:
- Tens um Android e um PC Windows? Vais adorar a novidade!
- A Wikipédia já te ajudou? Está na hora de a ajudares, sabe como!
- ES File Manager comete fraude na Play Store. Desinstala já do teu Android!
