Descubren una vulnerabilidad en Google Chrome que podría usarse para falsificar la barra de direcciones

En la versión de Google Chrome para móviles cuando se desliza el dedo hacia arriba por la pantalla para continuar leyendo, la dirección URL del sitio se oculta, es decir que el usuario deja de verla en pantalla.

Este detalle en el diseño puede ser utilizado para un cibercriminal para mostrar una URL falsa y orquestar un ataque de phishing, según publicó el desarrollador Jim Fisher en su blog.

Para hacer el engaño bastaría con conocer algo de programación y diseño. Fisher mostró en un video que creó una falsa barra de direcciones con la URL de un banco, e incluso con el gráfico del candado verde que se usa para indicar que la página tiene certificación HTTPS. Así, el usuario creería que está circulando por el sitio del banco en cuestión, cuando en realidad está en otra página web, que en este caso es jamesfisher.com.

El hecho de que no se vea la barra de dirección con la URL al navegar por la página, hace que el usuario sea más fácil de engañar porque no puede verificar si está, efectivamente, en el sitio que quiere visitar.

Al deslizar el dedo para navegar hacia arriba, el buscador mostrará la verdadera URL. Esto podría ser una buena manera de darse cuenta. Sin embargo, según explica el especialista, se puede engañar a Chrome para que no vuelva a mostrar la barra de direcciones y así el usuario no se daría cuenta que está siendo engañado.

Según el sitio 9to5Google, para comprobar si uno está dentro del sitio que quiere visitar o no, se puede probar bloquear y desbloquear el móvil con el Chrome abierto, en cuyo caso se verá la verdadera URL del sitio por el cual se está navegando.

De todos modos el método no es infalible. Por otra parte, el engaño podría tomar formas más sofisticadas.

"Si bien para el video se utilizaron capturas de pantalla de un banco, el desarrollador explicó que con un poco más de trabajo es posible crear barras de direcciones interactivas falsas. Por lo tanto, si el usuario no cae en la trampa en la página actual, el atacante tendrá otra oportunidad en si el usuario coloca la dirección Gmail.com en la falsa barra de direcciones interactiva.Por si esto fuera poco, en caso de que el usuario vuelva al inicio de la página en busca de la barra de direcciones, un atacante puede agregar un elemento de relleno en la parte superior del sitio e incluso engañar al usuario al hacerle creer que la página se refrescó", explicó Juan Manuel Haran, en el blog We Live Security.

Todavía no se reportaron engaños utilizando esta técnica. De todos modos, el hallazgo de Fisher sirvió para alertar sobre esta falla. Por el momento, Google no dio una respuesta pública sobre este tema.

MÁS SOBRE ESTE TEMA: 

El 97% de los argentinos usa contraseñas débiles

Encontraron una vulnerabilidad en Google Chrome: cómo actualizar el sistema

Ciberdelito: cuáles fueron "los anzuelos" que más se usaron para estafar usuarios