Der Entwickler James Fisher hat mehrere Methoden entworfen, um Nutzern von Chrome für Android ohne deren Wissen gefälschte Websites unterzuschieben. Die Phishing-Angriffe, die er in einem Blogbeitrag beschreibt, machen sich eine Funktion des Browsers zunutze, die eigentlich die Bedienbarkeit von Websites verbessern soll: Sobald ein Nutzer nach dem Laden der Website scrollt, verschwindet die Adressleiste.
Er setzt also darauf, dass Nutzer, die anhand der bekannten Kriterien wie URL und Verschlüsselungssymbol kontrollieren, ob sie auf der richtigen Seite gelandet sind, nicht merken, dass die Adressleiste eigentlich gar nicht sichtbar sein dürfte. Allerdings funktioniert dieser Trick nur unter Android, da Chrome für iOS auf Apples Browser-Engine WebKit basiert und WebKit dieses Feature nicht unterstützt – unter iOS würde ein Nutzer als zwei Adressleisten sehen.
Darüber hinaus entwickelte Fisher eine Technik, um zu verhindern, dass ein Bildlauf nach oben die echte Adressleiste wieder einblendet und die Fälschung auffliegen lässt. Das von ihm als „Scroll-Gefängnis“ bezeichnete Element, das wieder auf der Funktion „overflow:scroll“ basiert, lässt den Nutzer zwar den Inhalt der Seite mit dem Finger verschieben, aber nur innerhalb des nicht erkennbaren Scroll-Gefängnisses, dass den eigentlichen Seiteninhalt überlagert. Somit wird der Inhalt, der das Einblenden der echten Adressleiste auslösen würde, bei einer Fingerwischgeste gar nicht bewegt.
„Sobald Chrome die URL-Leiste ausblendet, verschieben wir den gesamten Seiteninhalt in ein Scroll-Gefängnis. Dann denkt der Nutzer, er würde innerhalb der Seite scrollen, aber tatsächlich scrollt er nur im Scroll-Gefängnis“, ergänzte Fisher. „Wie in einem Traum glaubt der Nutzer, im eigenen Browser zu sein, aber tatsächlich ist er in einem Browser innerhalb seines Browsers.“
Google wird sich wahrscheinlich nicht Fishers Einschätzung anschließen, dass das Ausblenden der Adressleiste eine Schwachstelle ist. Allerdings wies der Entwickler schon im vergangenen Jahr auf Gefahren hin, die von einem anderen Google-Feature ausgehen – was sich nachträglich als reale Angriffsmöglichkeit für Cyberkriminelle herausstellte.
Google ignoriert bei Gmail-Adressen Punkte im Kontonamen. Registriert ein Nutzer beispielsweise die Adresse johndoe@gmail.com, können andere Nutzer Adressen wie john.doe@gmail.com nicht in Anspruch nehmen. Darüber hinaus stellt Google aber auch Nachrichten, die eben an john.doe@gmail.com oder an jo.hn.doe@gmail.com verschickt wurden, an das Postfach von johndoe@gmail.com zu.
Betrüger fanden heraus, dass die Funktion auch benutzt werden kann, um Dritte für das eigene Netflix-Konto zahlen zu lassen. Ein mit einem „Dot“-Gmail-Konto angelegtes Netflix-Konto führt dazu, dass eine andere Person offiziell per E-Mail von Netflix aufgefordert wird, eine Zahlungsmethode für den Videodienst zu hinterlegen. Ist der Nutzer bereits Netflix-Kunde und fällt ihm nicht auf, dass die E-Mail an eine „Dot“-Variante seiner E-Mail-Adresse geschickt wurde, folgt er möglicherweise dem Aufruf von Netflix und hinterlegt beispielsweise eine Kreditkarte, wie Fisher im Februar berichtete.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…