Quand on parle de phishing, ou de hameçonnage, une des multiples attaques que les pirates informatiques ont dans leur arsenal, on a en tête un site en apparence légitime vers lequel un utilisateur est dirigé.
Selon un développeur à l’origine d’une découverte sur une probable faille de sécurité de Chrome pour Android, partagé via son blog, il est possible de procéder à une attaque par hameçonnage avec le navigateur de Google.
Jim Fisher met ainsi en évidence qu’un piège exploitant le défilement de l’interface utilisateur dans le navigateur de Google dédié aux appareils Android peut être mis à profit par un tiers malveillant pour vous rediriger vers un site autre que celui au niveau duquel vous croyiez atterrir.
Exploiter le défilement de l’interface utilisateur et le masquage de la barre de navigation
Les utilisateurs du navigateur Chrome pour Android l’ont surement remarqué, quand on défile la page web sur laquelle on atterrit, la barre d’adresse disparaît pour laisser entièrement la place à la page web. Et elle réapparaît quand on défile de nouveau vers le haut.
Toute l’astuce de la nouvelle méthode que Fisher a dévoilée réside dans l’utilisation de cette situation et la mise en place de cette méthode est relativement facile. Selon le développeur, il suffit juste d’avoir des connaissances en design web et disposer d’une capture d’écran du site sur lequel on veut rediriger l’internaute, sur lequel la barre de navigation de Chrome apparaît.
L’utilisateur y sera ainsi, en quelque sorte emprisonné (on parle de “scroll jail”), de telle manière qu’il croit que la page est rafraîchie. Et en défilant sur le nouvel élément il se retrouve dans une boucle constituée par le site sur lequel l’attaquant le redirige.
Pensez à verrouiller puis à déverrouiller votre téléphone quand vous naviguez
Si on est l’objet d’un hameçonnage, quand on y regarde de plus près, le site est juste une copie du site officiel (et dans bien des cas, très bien fait) et c’est au niveau de l’adresse url que l’on peut identifier l’arnaque.
Dans le cas de cette nouvelle méthode d’hameçonnage, on ne peut afficher de nouveau le véritable site sauf si on verrouille puis on déverrouille le téléphone utilisé, selon 9to5google, ce qui force Chrome à afficher le site légitime.
L’objet du phishing étant de dérober des informations et des données confidentielles, pour la plupart du temps des identifiants bancaires comme les codes des cartes. Il est très probable que cette méthode de phishing peut être mis à profit pour y parvenir, la question étant dans quelle mesure.