Chrome per Android nasconde la barra degli indirizzi quando viene effettuato lo scrolling verso il basso delle pagine web. Un ricercatore di sicurezza, James Fisher, ha mostrato che la funzionalità potrebbe essere sfruttata per eseguire attacchi di phishing.
L’obiettivo di Google è quello di eliminare la barra degli indirizzi per incrementare l’area di visualizzazione dei contenuti. Ma ciò rappresenta un rischio per gli utenti, in quanto non è possibile verificare l’indirizzo del sito web. La vulnerabilità, denominata “inception bar” dal ricercatore, potrebbe consentire a qualche malintenzionato di rubare dati sensibili, come credenziali di login e numero della carta di credito.
È infatti possibile creare un sito di phishing identico all’originale e mostrare una finta barra degli indirizzi con la vera URL che viene mostrata quando l’utente effettuata lo scrolling verso l’alto. Bastano poche linee di codice per impedire a Chrome di visualizzare la vera barra degli indirizzi. Inoltre è possibile creare una “scroll jail”, ovvero inserire l’intero contenuto della pagina in un nuovo elemento con overflow:scroll
. L’utente crede di trovarsi nel suo browser, invece si trova in un browser all’interno del browser.
In attesa di un eventuale fix da parte di Google, l’unico modo per visualizzare la vera barra degli indirizzi è cambiare il “focus”, ovvero passare ad un’altra app o alla schermata home e successivamente ritornare in Chrome. Si potrebbe anche usare il pulsante Indietro, ma su alcuni siti viene disattivato per impedire di aprire la pagina precedente.