Chrome für Android anfällig für Phishing-Angriffe

Der Entwickler James Fisher hat mehrere Methoden entworfen, um Nutzern von Chrome für Android ohne deren Wissen gefälschte Websites unterzuschieben. Die Phishing-Angriffe, die er in einem Blogbeitrag beschreibt, machen sich eine Funktion des Browsers zunutze, die eigentlich die Bedienbarkeit von Websites verbessern soll: Sobald ein Nutzer nach dem Laden der Website scrollt, verschwindet die Adressleiste.

Diese Funktion erlaubte es Fisher, eine gefälschte Version der Website der Großbank HSBC zu erstellen, inklusive dem grünen Schlüsselsymbol, das die Echtheit der Website bestätigt. Allerdings kommt hier kein gefälschtes Zertifikat zum Einsatz, denn Fisher fälschte die gesamte Adressleiste, die zum Inhalt seiner HSBC-Seite gehört und die automatisch ausgeblendete Adressleiste ersetzt.

Er setzt also darauf, dass Nutzer, die anhand der bekannten Kriterien wie URL und Verschlüsselungssymbol kontrollieren, ob sie auf der richtigen Seite gelandet sind, nicht merken, dass die Adressleiste eigentlich gar nicht sichtbar sein dürfte. Allerdings funktioniert dieser Trick nur unter Android, da Chrome für iOS auf Apples Browser-Engine WebKit basiert und WebKit dieses Feature nicht unterstützt – unter iOS würde ein Nutzer als zwei Adressleisten sehen.

Darüber hinaus entwickelte Fisher eine Technik, um zu verhindern, dass ein Bildlauf nach oben die echte Adressleiste wieder einblendet und die Fälschung auffliegen lässt. Das von ihm als „Scroll-Gefängnis“ bezeichnete Element, das wieder auf der Funktion „overflow:scroll“ basiert, lässt den Nutzer zwar den Inhalt der Seite mit dem Finger verschieben, aber nur innerhalb des nicht erkennbaren Scroll-Gefängnisses, dass den eigentlichen Seiteninhalt überlagert. Somit wird der Inhalt, der das Einblenden der echten Adressleiste auslösen würde, bei einer Fingerwischgeste gar nicht bewegt.

„Sobald Chrome die URL-Leiste ausblendet, verschieben wir den gesamten Seiteninhalt in ein Scroll-Gefängnis. Dann denkt der Nutzer, er würde innerhalb der Seite scrollen, aber tatsächlich scrollt er nur im Scroll-Gefängnis“, ergänzte Fisher. „Wie in einem Traum glaubt der Nutzer, im eigenen Browser zu sein, aber tatsächlich ist er in einem Browser innerhalb seines Browsers.“

Google wird sich wahrscheinlich nicht Fishers Einschätzung anschließen, dass das Ausblenden der Adressleiste eine Schwachstelle ist. Allerdings wies der Entwickler schon im vergangenen Jahr auf Gefahren hin, die von einem anderen Google-Feature ausgehen – was sich nachträglich als reale Angriffsmöglichkeit für Cyberkriminelle herausstellte.

Google ignoriert bei Gmail-Adressen Punkte im Kontonamen. Registriert ein Nutzer beispielsweise die Adresse johndoe@gmail.com, können andere Nutzer Adressen wie john.doe@gmail.com nicht in Anspruch nehmen. Darüber hinaus stellt Google aber auch Nachrichten, die eben an john.doe@gmail.com oder an jo.hn.doe@gmail.com verschickt wurden, an das Postfach von johndoe@gmail.com zu.

Betrüger fanden heraus, dass die Funktion auch benutzt werden kann, um Dritte für das eigene Netflix-Konto zahlen zu lassen. Ein mit einem „Dot“-Gmail-Konto angelegtes Netflix-Konto führt dazu, dass eine andere Person offiziell per E-Mail von Netflix aufgefordert wird, eine Zahlungsmethode für den Videodienst zu hinterlegen. Ist der Nutzer bereits Netflix-Kunde und fällt ihm nicht auf, dass die E-Mail an eine „Dot“-Variante seiner E-Mail-Adresse geschickt wurde, folgt er möglicherweise dem Aufruf von Netflix und hinterlegt beispielsweise eine Kreditkarte, wie Fisher im Februar berichtete.