有许多假网站的迹象,但是很难跟上所有这些迹象 - 这就是为什么大多数用户依靠其浏览器的地址栏来确定网站是否合法的原因。
现在,开发人员已经展示了一种利用,可以通过显示假版本的伪造版本来欺骗人们在合法的网站上Chrome for Android的完整地址栏。
用于Android地址栏网络钓鱼技巧的铬
当在Chrome中的任何页面上向下滚动以供Android滚动时,最上方的用户界面(包括地址栏和Tabs按钮)从视图上滑动,以免妨碍页面。但是作为开发商吉姆·费舍尔写在他的博客上,首先报告由9to5google,网站可以通过少数网页设计技巧轻松替换此UI元素。
费舍尔发现,整个地址栏可以“监狱”页面的滚动,该页面允许用户在不再次出现地址栏的情况下向上滚动页面。因此,当用户向后滚动时,该页面可以在屏幕顶部显示假地址栏的图像,在该图像中,合法地址栏UI通常会出现,并配有“锁定”图标,该图标指示站点是否安全。
也许此利用的最大含义可能是,如果没有访问Android的地址栏的Chrome,则用户无法轻易离开页面。是的,这应该很容易按下设备上的后退按钮,但是很多网站都表明这很容易覆盖。 Google当前是发展不过,解决这个问题。
如何检查自己是否被欺骗
检查Android Chrome是否显示合法地址栏的最佳方法是锁定手机并再次解锁。它应该迫使该应用显示其真实的地址栏,以为它已被假货篡改。它将同时显示合法的地址栏和被剥削的栏。这不是理想的解决方案,但现在可以做到。
幸运的是,这个技巧的重点是铬合金而且只是目前的概念证明,但是当受到生病的代理商和恶意网站的利用时,从理论上讲,它不仅可以在Chrome上,而且在其他各种浏览器上显示假地址栏。一个网络钓鱼广告系列不仅可以产生令人信服的页面,而且可以产生一个地址栏。
Google尚未对此事发表评论,但是请确保在我们学习更多时查看技术时代。
