Как правило, мы доверяем адресной строке браузера, чтобы определить, является ли сайт, который мы посещаем, легитимным. Разработчик продемонстрировал эксплойт, который может заставить вас поверить, что вы находитесь на легитимном веб-сайте, отображая поддельную версию полной адресной строки Chrome для Android.
Разработчик Джим Фишер опубликовал на своем личном блоге демонстрацию того, как веб-сайт может легко заменить адресную строку и интерфейс вкладок Chrome для Android, используя всего несколько хитростей веб-дизайна.
По сути, когда вы прокручиваете страницу вниз в Chrome для Android, верхний интерфейс с адресной строкой и кнопкой вкладок скрывается. Фишер обнаружил, что можно «запереть» прокрутку страницы, что позволяет прокрутить ее обратно вверх, не показывая снова интерфейс Chrome для Android.
Далее, когда вы пытаетесь прокрутить страницу вверх, страница может отобразить изображение поддельной адресной строки в верхней части экрана, где обычно находится интерфейс Chrome для Android, с совершенно другим URL-адресом, включая значок замка, указывающий на «безопасность» страницы.
Чтобы лучше понять, как это выглядит, Фишер включил визуальную демонстрацию эксплойта адресной строки в действии. В видео эксплойта вы можете увидеть, как реальная адресная строка с адресом «jameshfisher.com» заменяется поддельной с адресом «hsbc.com».
Одним из наиболее тревожных аспектов эксплойта является то, что вы не можете легко покинуть страницу без доступа к адресной строке Chrome для Android. Это *должно* быть так же просто, как нажать кнопку «Назад» на вашем устройстве, но множество веб-сайтов продемонстрировали, как легко переопределить кнопку «Назад» вашего браузера (хотя Google работает над исправлением).
В настоящее время лучший способ проверить, была ли ваша адресная строка подделана, — это заблокировать телефон, а затем снова разблокировать его. Это должно заставить Chrome для Android показать свою реальную адресную строку, оставив также отображаемую поддельную, эксплуатируемую версию, как показано ниже. Чтобы самостоятельно попробовать эксплойт и узнать больше о том, как он работает, обязательно ознакомьтесь с полным постом в блоге Фишера о Chrome для Android.
