Nouveau Phishing sur Chrome pour Android
Une nouvelle méthode de Phishing vient d’être signalée pour Jim Fisher sur son site web. La technique vise exclusivement le navigateur Google Chrome pour Android.
Le but est de profiter d’une fonctionnalité du navigateur Chrome qui masque automatiquement la barre d’adresse. Un site malveillant pourrait en profiter pour afficher une fausse barre à ce moment, tout en évitant de pouvoir ré-afficher la barre originale.
Une démonstration vaut mieux que mille mots :
À quoi sert ce Phishing sur Chrome (Android) ?
Un site malveillant pourrait viser les internautes naviguant depuis un périphérique Android pour se faire passer pour un site officiel en l’usurpant.
Étant donné que les techniques de prévention contre le phishing se base presque exclusivement sur la surveillance de la barre d’adresse, le fait d’y lire un site officiel pourrait donner un faux sentiment de sécurité à l’internaute…
Comment éviter de se faire avoir ?
En attendant une réponse officielle de Google, la protection est relativement facile à mettre en œuvre, il s’agit d’empêcher Google Chrome de masquer automatiquement la barre d’adresse.
Mais il semble que cette fonctionnalité n’existe pas par défaut.
À noter que le mode nuit du navigateur Chrome rend également la supercherie évidente. Vous pouvez l’activer en vous rendant sur l’adresse suivante :
chrome://flags
Vous y trouverez un paramètre expérimental « Android Chrome UI Dark mode » à mettre à « Enabled« . Ce paramètre pourrait très bien être intégré dans votre navigateur Chrome à leur de la lecture de ces lignes.
Notes additionnelles :
- Le fait de naviguer sur le site de phishing via une version différente de chrome (ou sur un navigateur intégré comme sur Facebook ou Gmail) ne permet pas de réaliser la technique.
- Le fait de remonter rapidement dans la page peut tout de même afficher la barre d’adresse originale en haut de la barre d’adresse truquée.
- Le fait de verrouiller puis déverrouiller le smartphone fait réapparaitre la barre originale.
- Cela ne fonctionne pas sous Firefox, Safari, et bien d’autres navigateurs.
Vous l’aurez remarqué, cette technique possède ses limites et ne fonctionnerait que dans le cas où un site officiel est imité à l’identique et dans le cas où l’utilisateur ne fait pas attention puis partage des données personnelles sur le site malveillant.
Autres références :
Le Tabnabbing, une attaque par phishing évoluée
Phishing Free mobile, ne vous faites plus avoir
Phishing Facebook, explications et contre-mesures
En sécurité informatique, il n’est pas rare d’opposer ergonomie et sécurité, et cette démonstration le prouve bien… Le fait de cacher automatiquement la barre d’adresse est prévu pour optimiser la taille d’écran sur mobile. La fonctionnalité pourrait donc ne pas être changée dans l’immédiat.