Crean una barra de direcciones falsa en Chrome para Android: cuidado con las webs que visitas

Software

Son múltiples los intentos que han realizado los hackers para realizar ataques de phishing. Entre las vulnerabilidades (o más bien defectos) que han explotado de Chrome encontramos el haber creado URL con caracteres cirílicos que se mostraban igual que los latinos para que una web falsa como apple.com se viera en nuestro móvil como si fuera la real. Ahora, un nuevo ataque de phising va a por la barra de direcciones.

Cuidado con las webs que visitas a partir de ahora: URL falsas en Google Chrome

Cuando visitamos una página web, tendemos a confiar en la URL que vemos en nuestro navegador. Sin embargo, un desarrollador ha demostrado que podemos creer estar en una página web que no es real. La clave es crear una barra de direcciones falsa para hacernos creer que estamos en una página web cuando en realidad estamos en otra.

El desarrollador, llamado James Fisher, se aprovecha de una característica curiosa de Chrome para Android. Cuando visitamos una web en la app, normalmente nos aparece la URL arriba, y en cuanto empezamos a deslizar hacia abajo la barra se oculta junto al botón de pestañas abiertas y el de los tres puntos.

chrome url real fake barra direcciones

Cuando volvemos a deslizar hacia arriba, la barra de direcciones vuelve a aparecer con la URL real. Sin embargo, el desarrollador ha conseguido mostrar una imagen falsa con una URL falsa, incluyendo el icono de HTTPS para indicarnos que estamos en la web real, de manera que la barra real no se despliega. En lugar de estar en la web de HSBC, que es lo que se muestra, estamos en la del blog de James Fisher.

Además, al deslizar hacia arriba no se vuelve a mostrar la barra original porque se ha llevado la página a lo que se llama un «scroll jail«, donde mediante el overflow:scroll se está en un deslizamiento infinito en una página dentro de la página, y no en el propio navegador en sí. Si queremos llegar a la parte de arriba de la web, no podemos porque se hace una especie de rebote en la web para no llegar nunca a la parte superior.

Lo más peligroso de este ataque es que necesitamos pinchar en la barra de direcciones para cerrar la pestaña actual, o pulsar el botón de atrás para salir de ella. Por desgracia, en muchas webs este botón de volver atrás no funciona si se implementa y suplanta la funcionalidad de Chrome, tal y como hacen algunas webs maliciosas. También puedes presionar el botón de apps recientes y cerrar Chrome, o en el caso de que tengas root en tu móvil al menos te queda la opción de dejar pulsado el botón de retroceder para forzar el cierre de la app.

La opción más rápida para comprobar si la URL que estamos viendo es real o no es bloquear el móvil y volverlo a desbloquear. Al volver a aparecer Chrome, el navegador mostrará la URL real en la parte superior con los menús reales de manera que podamos cerrar la pestaña. Si por un casual no pudieras volver a Chrome para cerrar la pestaña, no te quedará más opción que ir a los Ajustes del móvil y borrar la configuración de la app para que se cierre todo lo que en ella tengamos abierto.

Un atacante puede ir un paso más allá y crear una barra de direcciones falsa interactiva, o que una web detecte qué navegar está usando un usuario para mostrarle una barra falsa a medida. Google no se ha pronunciado todavía sobre el fallo, pero éste será bastante difícil de arreglar. La única solución que parece viable es que haya un contenido fijo del navegador en la parte superior, pero perderíamos un trozo de la pantalla. La realidad es que seguro que vamos a ver anuncios maliciosos y otras webs aprovechándose de este fallo.

Escrito por Alberto García

Fuente > James Fisher