Pozor na Chrome v Android telefonu

Nový typ útoku využívá vlastnosti aplikace Chrome na telefonech s operačním systémem Android, která schová adresní řádek ve chvíli, kdy uživatel posune zobrazenou stránku směrem dolů. Adresa se opět objeví při pohybu stránky nahoru.

Útočník může tuto vlastnost zneužít a přinutit prohlížeč schovat originální adresní řádek a místo toho zobrazit vlastní, zfalšovaný.

Pokud tedy například v emailu, který vypadá jako zpráva z vaší banky, kliknete na odkaz, můžete se dostat na takto upravenou stránku útočníka, která bude vypadat jako web banky a i adresní řádek tomu bude odpovídat (viz video Jamese Fishera, který útok odhalil, níže). Pokud zadáte na stránce vaše přihlašovací údaje, pošlete je přímo útočníkovi.

Jak se bránit? Jedná se o využití vlastnosti Chrome a není (zatím) vydána žádná aktualizace, která by toto chování změnila. Proto si dávejte pozor na odkazy, které otevíráte z emailu.

Dobrá praxe je neklikat na odkazy, které mají vést na stránky, na kterých máte zadávat nějaké své údaje. Pokud vám například přijde zpráva, že je potřeba vyřešit něco ve vašem internetovém bankovnictví, otevřete prohlížeč a adresu jednoduše zadejte ručně, případně použijte uložené (a ověřené) záložky (bookmark).

Milan

Jmenuji se Milan Půlkrábek, pamatuji si počítače bez internetu, Internet bez Google a mobilní komunikaci bez šifrování. Mám za sebou více než dvacet let profesionální praxe v IT, přednáším a píšu články o IT bezpečnosti, kryptoměnách a nových technologiích. Od roku 2014 jsem součástí nezikové organizace Paralelní Polis v Praze.