Cortesía: James Fisher

Un desarrollador llamado Jame Fisher detectó un exploit en Chrome para Android que permite que cualquier persona navegue en una página falsa creada por algún atacante sin notarlo debido a un nuevo ataque de phishing.

Tal como el investigador demostró en su blog, este ataque de phishing se produce desde Chrome para Android. Cuando te desplazas en el sitio web desde tu móvil puedes notar que aparece una página con la URL original, sin embargo, cuando desplazas hacia abajo, la URL de la página cambia por la asignada por el atacante, quedando de alguna manera “atrapado” en el falso sitio web generado por el hacker.

Esto se debe a un ataque de phishing donde un sitio web puede reemplazar fácilmente la barra de direcciones de Chrome para Android, así como la interfaz de usuarios, con solo implementar pequeños bloques de código en el navegador, señala Fisher.

Cuando el usuario se desplaza hacia abajo, el navegador oculta la barra de URL y entrega el espacio de la pantalla de la barra de URL a la página web. Debido a que el usuario asocia este espacio de pantalla con la “interfaz de usuario confiable del navegador”, un sitio de phishing puede usarlo para representar un sitio diferente, mostrando su propia barra de URL falsa: ¡la barra de inicio!

Fisher hizo una demostración del exploit en el siguiente video, donde puedes observar cómo la URL del sitio jameshfisher.com cambia a hsbc.com con solo desplazar hacia abajo:

De esta manera quedarías “encarcelado” en el navegador falso creado por el atacante, de acuerdo con el desarrollador cualquiera con conocimientos técnicos podría engañar a Chrome para Android.

Cuando nos desplazamos hacia arriba en una página web, el navegador tiende a ocultar la barra de navegación, es ahí cuando “movemos todo el contenido de la página a un ‘scroll encarcelado'”, de esta manera Chrome nunca volverá a mostrar la URL verdadera y el usuario se queda “atrapado” en ese navegador falso.

Lo peor de todo es que no puedes salir del sitio web falso una vez que Chrome oculta la barra de URL, lo que lo hace un ataque aún más delicado. Cabe destacar que Fisher hizo esta prueba en Chrome pero existe la posibilidad de que pueda implementarse en otros navegadores.

Sin duda, se trata de un fallo bastante delicado que dejaría expuesta cualquier cantidad de sitios web en caso de que Chrome no aplique las medidas necesarias. El sitio web Engadget señaló que Google no ha emitido comentarios al respecto, pero mientras la compañía de Mountain View sugiere alguna solución, aquí te dejamos las opciones más recomendadas hasta ahora.

¿Cómo salir del ataque de “encarcelamiento” en Chrome?

Una de las soluciones ofrecidas por el desarrollador es maximizar el espacio de la pantalla del móvil por un lado, y retener el espacio de la pantalla de confianza en el otro. Esto podría ser configurado por Chrome añadiendo algunas reglas de estilo evitando que los atacantes inserten el código malicioso.

Por otro lado, el equipo de 9to5Mac sugiere que para detectar si eres víctima de este ataque de phishing puedes bloquear el teléfono y luego desbloquearlo. De acuerdo con el team: “Esto debería obligar a Chrome para Android a mostrar su barra de direcciones real y dejar la falsa, explotada también en pantalla”.

Si quieres conocer más detalles de esta vulnerabilidad, echa un vistazo al blog de Fisher.