ثغرة أمنية في متصفح كروم تُظهر عناوين مواقع وهمية

لا يحتاج المهاجمون الإلكترونيون إلى العثور على عيوب تقنية غامضة لشن هجمات التصيد الإلكتروني، فهم يحتاجون لصورة الشاشة وبعض الأكواد البرمجية. فقد اكتشف المطور جيمس فيشر ثغرة أمنية في متصفح كروم الخاص بالهواتف الذكية.

 

استفاد المطور من الثغرة الأمنية بعرض شريط العنوان، وذلك عندما تقوم بالتمرير من أعلى إلى أسفل الصفحة، فشريط العنوان يعرض عنوانًا مزيفًا لن يختفي حتى تقوم بزيارة موقع آخر. يُمكن للمهاجم إعادة برمجة الصفحة حتى تمنعك من رؤية شريط العنوان الحقيقي عند التمرير لأعلى.

 

يركز منهج فيشر على كروم وهو مجرد دليل على المفهوم في الوقت الحالي، لكنه يُمكن نظريًا عرض أشرطة عناوين وهمية لمجموعة متنوعة من المتصفحات وحتى تضمين عناصر تفاعلية. بمعنى آخر، يُمكن أن تؤدي حملة التصيد الاحتيالي إلى إنتاج موقع مقنع يتجاوز مجرد محتوى الصفحة.

 

اقرأ أيضًا >> كيف تكتشف وتمنع الملحقات الخبيثة في متصفح جوجل كروم؟

 

تسمح هذه الثغرة بعرض نسخة مزيفة من شريط العنوان الكامل لنظام التشغيل كروم عبر نظام أندرويد، وتمكن فيشر بالفعل من إثبات أن موقع الويب يُمكن استبداله بسهولة من خلال اختيار عنوان شبيه وعلامات تبويب في واجهة الاستخدام وبعض حيل تصميم الويب.

 

عند التمرير لأسفل في أي صفحة يختفي شريط العنوان، وعند التمرير لأعلى مرة أخرى يظهر العنوان بشكل ليس كاملًا وهذا ما تسمح بتزييفه هذه الثغرة الأمنية. يتغير عنوان الصفحة مع وجود رمز القفل الذي يشير إلى أمان الصفحة.

 

اقرأ أيضًا >> إلى أي مدى يختلف متصفح إيدج الجديد عن مشروع كروميوم؟

 

كيف نتجنب ذلك؟

في الوقت الحالي، أفضل طريقة للتحقق ما إذا كان قد تم العبث بشريط العنوان الخاص بك هو عن طريق قفل الهاتف، ثم إلغاء قفله مرة أخرى، وهذا من المفترض أن يجبر متصفح كروم عبر منصة أندرويد على إظهار شريط العنوان الحقيقي الخاص بك وترك العنوان الوهمي.