Der Entwickler James Fisher hat eine neue Phishing Methode in Chrome for Android entdeckt. Er nennt sie Inception Bar und hat sie auf seinem eigenen Blog auch anschaulich demonstriert.
Chrome for Android – Achtung, Phishing mit gefälschter Adressleiste
Phishing basiert immer auf dem Vorspiegeln falscher Tatsachen. Auch Phishing-E-Mails werden zu tausenden verschickt und können nur mit einigen Tricks durchschaut werden.
Phisher bauen die eigentlichen Webseiten bis ins kleinste Detail nach und legen diese als Overlay über die echte Webseite. Für den Nutzer ist so etwas fast nicht vom Original zu unterscheiden. Um bei Webseiten ganz sicher zu gehen, dass man sich auch wirklich auf der „echten“ Webseite befindet hilft nur der Blick in die Adressleiste.
Bei Google Chrome für Android verschwindet die Adressleiste jedoch aus dem Blickfeld, sobald du auf der Seite nach unten scrollst. Das ist zwar toll, da man mehr von der Webseite sieht, aber genau das macht Chrome für Android anfällig für die neue Phishing-Methode.
Im Blog des Entwicklers James Fisher ist ein Demo-Video zu sehen, welches verdeutlicht, dass bei einem Phishing-Angriff eine andere Webseiten-URL in der Adressleiste zu sehen ist. Dieses Overlay wird durch verschiedene Tricks direkt über der echten Seite eingeblendet und verhindert auch, dass die echte Adressleiste wieder angezeigt wird.
Fisher schreibt dazu in seinem Blog: Normalerweise zeigt Chrome beim Scrollen nach oben die echte URL wieder an. Aber man kann Chrome täuschen, indem der gesamte Seiteninhalt, sobald die URL-Leiste von Chrome ausgeblendet wurde, mit overflow:scroll in ein „Scroll-Jail“ verschoben wird.
Nun glaubt der Nutzer, dass er auf der Seite nach oben blättert, allerdings agiert er nur im „Scroll-Jail“ und glaubt wie im Film Inception, dass er sich in seinem eigenen Browser befindet. Jedoch befindet er sich in einem Browser in seinem eigentlichen Browser.
Wenn man jedoch glaubt, dass man die echte Adressleiste durch das hochscrollen wieder angezeigt bekommt ist das ein Fehler. Sofern die Phisher nämlich ein weiteres Element ganz oben in die falsche Seite einsetzen wird verhindert, dass die echte URL angezeigt wird. Es sieht dann aus, als wenn die Seite beim hochscrollen aktualisiert wird.
Als Nutzer hast du also nur die Möglichkeit die falsche URL vor dem ersten Scrollen zu erkennen. Ein wirklicher Schutz existiert nicht. Einzig Google selbst könnte bei Chrome das Ausblenden der Leiste beim Scrollen verhindern – zum Leidwesen der Nutzer.
