En la app de Chrome para teléfonos móviles, si un usuario desliza verticalmente hacia arriba su dedo (lo que se conoce en inglés como hacer scroll hacia arriba), el navegador esconde la barra de direcciones con la URL del sitio en el que el usuario está. Sin embargo, esta acción, que busca ofrecer una mejor experiencia al usuario (sobre todo aquellos que utilizan dispositivos con pantallas pequeñas), puede ser manipulada por un sitio de phishing para engañar al usuario y mostrarle una falsa barra de dirección y mostrar una URL apócrifa.

Fuente: jameshfisher.com

Esta vulnerabilidad en la aplicación de Chrome la descubrió el desarrollador James Fisher, quien publicó en su sitio web los detalles de este hallazgo (al cual denomino “the inception bar”); y añadió que en caso de ser utilizado para ataques de phishing podría engañar a muchos usuarios al hacerles creer que está en un sitio web que en realidad no es tal.

Para ilustrar cómo funciona, el desarrollador elaboró un video en el cual creo una falsa barra de dirección con la URL de un reconocido banco. Sin embargo, si bien pareciera que la página que se muestra está alojada en el sitio del banco, en realidad está alojada en su sitio web: jameshfisher.com.

 

Según explica en su post, apenas el usuario hace scroll hacia arriba, Chrome enseguida vuelve a mostrar la verdadera barra de dirección con la URL legítima. Sin embargo, es posible engañar a Chrome para que no vuelva a mostrar la verdadera barra de direcciones y hacer que el usuario esté “atrapado” en el movimiento de scroll, en el que la víctima cree que está en su navegador, pero en realidad está en un navegador dentro de su navegador, explica Fisher.

Si bien para el video se utilizaron capturas de pantalla de un banco, el desarrollador explicó que con un poco más de trabajo es posible crear barras de direcciones interactivas falsas. Por lo tanto, si el usuario no cae en la trampa en la página actual, el atacante tendrá otra oportunidad si el usuario coloca la dirección Gmail.com en la falsa barra de direcciones interactiva.Por si esto fuera poco, en caso de que el usuario vuelva al inicio de la página en busca de la barra de direcciones, un atacante puede agregar un elemento de relleno en la parte superior del sitio e incluso engañar al usuario al hacerle creer que la página se refrescó.

Este fallo en la app de Chrome para móviles de momento no se ha visto en acción por parte de actores maliciosos, pero sin dudas es algo que Chrome deberá analizar cómo utiliza la opción de esconder la barra de direcciones en móviles cuando el usuario hace scroll.