Una vulnerabilità di Chrome facilita il phishing

Il phishing non è esattamente un nuovo argomento per quanto riguarda la sicurezza informatica, anche se si trovano spesso modi nuovi e creativi per condurre la pratica. Uno di questi è la “barra inception” di Chrome. La tecnica, scoperta dallo sviluppatore James Fisher, è stato dimostrato sul browser di Google per dispositivi mobili e sfrutta il comportamento dell’app per quanto riguarda la barra degli indirizzi. Mentre si scorre verso il basso, per leggere il resto di una pagina web, Chrome nasconde la barra degli indirizzi, e questo è esattamente il punto in cui entra in gioco la cosiddetta “barra inception”.

La dimostrazione del concetto ha utilizzato il sito web di HSBC come sostituto di quello originale su cui si trovava l’utente. Tramite una serie di scroll, l’intero contenuto della pagina viene letteralmente intrappolato in un nuovo elemento di overflow:scroll, creando così una sorta di browser all’interno di un browser; un riferimento al film Inception del 2010 e ai suoi sogni. A seconda delle modalità utilizzate da un hacker, la barra degli indirizzi falsa potrebbe persino essere resa interattiva, così da creare un’illusione più elaborata, arrivando ad aggiungere elementi di riempimento nella parte superiore del modulo.

Nella pratica, quando un hacker riesce a sovrapporre il proprio contenuto, malevolo, a quello legittimo, l’utente non si accorge nemmeno di essere entrato in un sito web differente, scorrendo verso il basso, su cui potrebbe prendere dei virus, cliccare su link falsi e mettere a serio rischio la propria privacy. Sebbene l’illusione potrebbe essere interrotta navigando in uno dei menu di Chrome, il metodo resta comunque uno dei più sconcertanti, anche se piuttosto creativo, di implementare un attacco di phishing. Google è stata avvertita del problema e dovrebbe intervenire nel breve per porvi rimedio con un aggiornamento dell’app.