Início » Antivírus e Segurança » Chrome permite golpe com falsa barra de endereços em Android e iOS

Chrome permite golpe com falsa barra de endereços em Android e iOS

Um desenvolvedor demonstrou a possibilidade do golpe no Chrome, mas o mesmo pode ocorrer em outros navegadores

Victor Hugo Silva Por

A barra de endereços é de extrema importância em um navegador. Ela dá os primeiros sinais de que um site é confiável ou não. Sabendo disso, cibercriminosos podem aplicar golpes com barras de endereços falsas no Chrome e em outros navegadores para Android e iOS.

É o que aponta o desenvolvedor Jim Fisher, que demonstrou como o Chrome e outros navegadores para dispositivos móveis podem ser vulneráveis à prática de phishing. Em celulares e tablets, os navegadores costumam ocultar a barra de endereços conforme você rola a página.

Aproveitando-se desse comportamento, cibercriminosos são capazes de criar uma barra própria com o endereço que desejarem. Após a barra do navegador ficar oculta, é possível passar a exibir uma barra muito parecida à verdadeira, enganando os usuários menos atentos.

Em seu exemplo, Fisher fez com que seu site exibisse a URL “hsbc.com” ao lado dos ícones de cadeado e de número de abas abertas no Chrome. Ele usou apenas uma imagem para demonstração, mas um trabalho mais apurado poderia resultar até mesmo em uma barra interativa.

Os autores do golpe podem, ainda, impedir o retorno ao topo da página e, consequentemente, a exibição da barra verdadeira. Com uma propriedade de CSS (overflow: scroll), é possível fazer a vítima ter a impressão de que está rolando a página completa, quando na verdade está movendo apenas um trecho dela. Basicamente, o usuário está rolando uma janela dentro de outra janela.

Ainda que a vítima tente chegar, de fato, ao topo da página, os responsáveis pelo golpe podem criar uma espécie de margem entre o topo da janela e o texto. Quando ela chega a um determinado ponto da margem, a página retorna à área do texto, dando a entender que foi atualizada.

Fisher considera a possibilidade do golpe como uma falha de segurança do Chrome. Ainda que não se trate de uma brecha convencional, ele acredita que o navegador poderia realizar mudanças para evitar que usuários se confundam com as barras de endereço.

Uma saída seria exibir uma sombra no topo da página para indicar que a barra de endereços verdadeira está oculta. O desenvolvedor lembra, ainda, que com um código mais elaborado seria possível adaptar o visual da barra falsa de acordo com o navegador.

“Posso imaginar essa técnica enganando usuários que são menos conscientes disso e que são menos instruídos tecnicamente”, afirma. “O único momento que o usuário tem a oportunidade de verificar a URL verdadeira é no carregamento da página, antes de rolar a página. Depois disso, não há muita fuga”.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Seraph

Opa, agora que terminei de ler que vi isso, grato

Gabriel Moraes

Não funcionou aqui no Brave, que é baseado no Chrome

Dan Santos

Seria uma boa usar essa solução do Safari no Chrome

Rodrigo Fogagnolo

Se ele usar o Safari no iOS, não tem esse problema, pois o Safari nunca oculta a barra de endereço, só diminui ela

Thiago Sabaia

Já rola tem um tempo isso

VolksW4GNER

"Sabendo disso, cibercriminosos podem aplicar golpes com barras de endereços falsas no Chrome e em outros navegadores para Android e iOS."

Seraph

ainda bem que não uso esse mata RAM