Quando uma barra de endereço não é uma barra de endereços?

Quando é falso.

O pesquisador de segurança James Fisher se deparou com um ataque furtivo que poderia enganar usuários móveis involuntários na navegação de um site de phishing com uma barra de endereços exibindo uma URL legítima.

O truque explora a maneira como a versão Android do navegador Chrome salva imóveis valiosos em estado atual. Quando você rola uma página da Web em seu dispositivo móvel, a barra de endereço do Chrome desaparece para que você possa ver mais da página. Fisher usou isso para introduzir um ataque falso da interface do usuário.

Seu ataque exibe uma barra de URL falsa onde a real costumava estar. Esta barra de URL é apenas um elemento na página, por isso pode dizer o que quiser. Pode até ser uma imagem de uma barra de endereços, se preferir. Um invasor pode usar isso para falsificar o website de seu banco, mas exibe uma barra de endereço falsa que exibe seu endereço legítimo, induzindo você a pensar que o site é autêntico.

Você deve conseguir verificar a barra de endereço real rolando de volta para o topo da sua página, pois o Chrome exibirá novamente o endereço. Fisher tem um truque para se esquivar disso também. Ele move toda a página da Web para um novo elemento com sua propriedade de folha de estilos em cascata (CSS) definida como ponto de partida a rolagem. A propriedade overflow contém instruções sobre o que fazer se tiver muito conteúdo para exibir de uma só vez. A rolagem da configuração faz com que ela introduza uma barra de rolagem.

O resultado é uma página da Web em uma página da Web, que contém sua própria barra de rolagem. Os usuários que rolarem de volta o conteúdo da página da web acham que estão rolando a página da web original, mas na verdade estão rolando um elemento dentro dessa página da web. Isso significa que eles chegam ao topo do conteúdo desse elemento, mas não à página da Web original.

Se isso não enganar o usuário e eles tentarem rolar novamente, Fisher confunde-os mais uma vez com um elemento de preenchimento alto na parte superior do elemento falso. Isso recupera o usuário quando ele tenta rolar para cima, fazendo com que pareça uma atualização de página, sem precisar colocá-lo no topo da página da web real. Assim, eles não verão a barra de endereços legítima original, a menos que acessem o botão “Voltar” no navegador ou recarreguem a página.

Fisher diz:

Com um pouco mais de esforço, a página pode detectar em qual navegador ela está e criar uma barra de criação para esse navegador. Com ainda mais esforço, a barra inicial poderia ser interativa.

Aqui está uma demonstração do ataque no Chrome no celular. Funciona nas versões iOS e Android do navegador do Google.

Fisher chama essa façanha de “bar do início”, comparando-a aos ataques oníricos que vimos no filme Inception. Nesse filme, criminosos se infiltraram nos sonhos das pessoas e enganaram a vítima inconsciente, que não percebeu que estava sonhando. Os criminosos usaram um pião para dizer se estavam sonhando ou acordados. O topo girou indefinidamente no sonho, mas caiu na realidade.

Qual é o equivalente do Chrome a um ‘pião’?

A maneira mais óbvia de evitar cair nessa situação, caso alguém empregue esse truque, é checar novamente a barra de endereço real antes de rolar para baixo.

Pressionar o botão “Voltar” em seu navegador ou recarregar a página da web é uma opção se você já estiver mais abaixo na página.

Se preferir, lembre-se de que, se o celular do Chrome mostrar uma barra de endereço para você enquanto você estiver no meio da página, algo está errado.

… Ou você pode mudar para o iOS. Testamos o ataque a um iPhone no Safari e no Chrome. Ambos os navegadores exibiam a barra de endereços falsa e a legítima, tornando o ataque muito menos eficaz.

Com informações dos parceiros da Naked Security, um blog Sophos.