Descubren una vulnerabilidad en Google Chrome que podría usarse para falsificar la barra de direcciones
04/05/2019 - 17:17:53
Infobae.- En la versi�n de Google Chrome para m�viles cuando se desliza el dedo hacia arriba por la pantalla para continuar leyendo, la direcci�n URL del sitio se oculta, es decir que el usuario deja de verla en pantalla.
Este detalle en el dise�o puede ser utilizado para un cibercriminal para mostrar una URL falsa y orquestar un ataque de phishing, seg�n public� el desarrollador Jim Fisher en su blog.
Para hacer el enga�o bastar�a con conocer algo de programaci�n y dise�o. Fisher mostr� en un video que cre� una falsa barra de direcciones con la URL de un banco, e incluso con el gr�fico del candado verde que se usa para indicar que la p�gina tiene certificaci�n HTTPS. As�, el usuario creer�a que est� circulando por el sitio del banco en cuesti�n, cuando en realidad est� en otra p�gina web, que en este caso es jamesfisher.com.
El hecho de que no se vea la barra de direcci�n con la URL al navegar por la p�gina, hace que el usuario sea m�s f�cil de enga�ar porque no puede verificar si est�, efectivamente, en el sitio que quiere visitar.
Al deslizar el dedo para navegar hacia arriba, el buscador mostrar� la verdadera URL. Esto podr�a ser una buena manera de darse cuenta. Sin embargo, seg�n explica el especialista, se puede enga�ar a Chrome para que no vuelva a mostrar la barra de direcciones y as� el usuario no se dar�a cuenta que est� siendo enga�ado.
Seg�n el sitio 9to5Google, para comprobar si uno est� dentro del sitio que quiere visitar o no, se puede probar bloquear y desbloquear el m�vil con el Chrome abierto, en cuyo caso se ver� la verdadera URL del sitio por el cual se est� navegando.
De todos modos el m�todo no es infalible. Por otra parte, el enga�o podr�a tomar formas m�s sofisticadas.
"Si bien para el video se utilizaron capturas de pantalla de un banco, el desarrollador explic� que con un poco m�s de trabajo es posible crear barras de direcciones interactivas falsas. Por lo tanto, si el usuario no cae en la trampa en la p�gina actual, el atacante tendr� otra oportunidad en si el usuario coloca la direcci�n Gmail.com en la falsa barra de direcciones interactiva.Por si esto fuera poco, en caso de que el usuario vuelva al inicio de la p�gina en busca de la barra de direcciones, un atacante puede agregar un elemento de relleno en la parte superior del sitio e incluso enga�ar al usuario al hacerle creer que la p�gina se refresc�", explic� Juan Manuel Haran, en el blog We Live Security.
Todav�a no se reportaron enga�os utilizando esta t�cnica. De todos modos, el hallazgo de Fisher sirvi� para alertar sobre esta falla. Por el momento, Google no dio una respuesta p�blica sobre este tema.
