הפרצה היצירתית הזאת בכרום יכולה להפיל גם אתכם

מפתח הצליח לרתום כמה שורות קוד ומעט ידע בעיצוב אתרים כדי לגרום לכם לחשוב שאתם באתר אחר לגמרי מהאתר שבו אתם גולשים, ויכול להיות שאפילו לא תשימו לב שזה קורה

תמונה: James Fisher

מתקפות פישינג בדרך כלל כוללות ניסיונות הטעיה באמצעות קישורים שונים, ואתם וודאי יודעים להתגונן מהן באמצעות בדיקה של ה-Address Bar הוותיק והאהוב, שמסמן לכם אילו אתרים בטוחים ואילו לא. אז מה אם נגיד לכם שאתם כבר לא יכולים לבטוח ב-100% בבאר הזה? מפתח בשם ג’ים פישר מדגים כיצד בקלות הוא גורם לכם לחשוב שאתם באתר אחר לגמרי, למרות ששורת הכתובות תראה לכם שאתם באתר לגיטימי לחלוטין, וזה הרבה יותר יצירתי ומסוכן ממה שאתם חושבים.

נראה כמו הדבר האמיתי, אבל עשוי לסכן את המידע שלכם

פישר מכנה את הטריק הזה “Inception Bar”, כלומר באר שתול, וכמובן מחווה לסרט “התחלה”. כשאתם גוללים לתומכם באתר בכרום במובייל, הדפדפן מחביא את שורת הכתובות כדי לפנות לכם מקום לתוכן, אך פישר משתמש בתרגיל מבוסס קוד ועיצוב אתרים שבמהלכו הוא מציג שורת כתובות שנראית כמו הדבר האמיתי, אבל מציגה לכם אתר שונה לחלוטין, כך שאתם עשויים לחשוב שאתם באתר לגיטימי, בעוד שכרום לא מצליח להזהיר אתכם שאתם באתר זדוני. שורת הכתובות הפיקטיבית הזאת מציגה לכם אתר אחר, ואפילו את אייקון המנעול הירוק שמסמן לכם שהאתר “בטוח”.

בדרך כלל כשאתם מתחילים לגלול למעלה, שורת הכתובות המקורית אמורה לשוב, אבל פישר הוסיף אלמנט נוסף ש”כולא” את המשתמש בתוך אותו שטח שהדפדפן הקצה לאתר על חשבון שורת הכתובות המקורית, ואז לא תוכלו לדעת כלל שנלכדתם על ידי האתר. פישר אפילו הוסיף אלמנט נוסף שיגרום לכך שאפילו אם תעלו לתחילת העמוד, עדיין תראו את שורת הכתובות הפיקטיבית, ואפילו מוסיף אפקט שיגרום לכם לחשוב שריפרשתם את העמוד.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

לרוב פירצות לא נחשפות לציבור, ובטח שלא כל אחד יכול לבדוק אותן, אבל פישר מאפשר לכם לחוות את הפירצה-ספק-חולשה הזאת בעצמכם: אם תכנסו לפוסט בבלוג של פישר בו הוא מסביר על הטריק (דרך כרום), ותגללו מעט למטה, תוכלו לשים לב ששורת הכתובות לפתע השתנתה ל-HSBC.com, חברה שאין לה ולו חצי קשר לפישר, אבל אתם עשויים לחשוב שאתם בטעות גולשים בו.

פישר טוען שעם מעט יותר עבודה, כל אחד יכול להוסיף שורת קוד שתבדוק באיזה דפדפן המשתמש גולש כרגע כדי להתחזות אליו, ולהפוך אותו לאינטראקטיבי, כך שאם תעלו לשורת הכתובות הפיקטיבית ותזינו בה כתובת אתר אחר, הוא יוכל להפנות אתכם לעוד אתר פיקטיבי בו כבר תזינו עוד פרטים אישיים כמו פרטי חשבון הג’ימייל או אפילו את חשבון הבנק שלכם. בקיצור? זו בעיה לא פשוטה שכל מתכנת עם כמה דקות פנויות יכול לנצל כדי להפיל גם את הטובים ביותר בפח.

אין פתרון באופק

פישר מציע לגוגל כמה פתרונות בשביל להפוך את כרום ליותר בטוח מהמתקפה הזאת: הראשונה היא פשוט לא לאפשר לשורת הכתובות להעלם בשום שלב, מה שיגרע מהמקום המוקדש לתוכן שאתם קוראים. האפשרות השניה היא לשמור חלק קטן מעל החלק של שורת הכתובות (ידוע גם כ”קו המוות”), כדי שבמקרה של השתלטות עליה, המשתמש בתקווה יוכל לראות את שתי השורות ולחשוד שמשהו לא כשורה.

בינתיים, לצערנו, הדרך היחידה להתמודד עם הבעיה הזו היא לנעול ולפתוח את נעילת הטלפון שוב, מה שיכריח את כרום להציג את שורת הכתובות האמיתית מעל שורת הכתובות הפיקטיבית. פישר לא חושף האם הוא פנה לגוגל עם התגלית הזאת לקבלת תגובה, וניתן לשער שגוגל לא בהכרח רואה בכך “פירצת אבטחה”. אם ועד שגוגל תמצא פתרון לבעיה הזו, שימרו על עצמכם.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

8 תגובות על "הפרצה היצירתית הזאת בכרום יכולה להפיל גם אתכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
גנא
Guest

בעברית כאשר הממשק מימין לשמאל זה נשאר משמאל לימין..

ברוך
Guest

בגלל ששורת הכתובת שרואים היא בסה”כ אלמנט קבוע שהוא הוסיף, אפשר לראות למשל שכמות הכרטיסיות הפתוחות לא תואמת למה שפתוח בפועל, וכן שהיא לא עובדת בכלל, אם לוחצים עליה לא קורה כלום.
לא צריך לנעול ולפתוח שוב.

שמושי
Guest

“הדרך היחידה להתמודד עם הבעיה הזו היא לנעול ולפתוח את נעילת הטלפון שוב”
לא ממש, אפשר גם לגרור את שורת הכתובת מטה.

זה אני
Guest

בדרך כלל כשאתם מתחילים לגלול למעלה, שורת הכתובות המקורית אמורה לשוב, אבל פישר הוסיף אלמנט נוסף ש”כולא” את המשתמש בתוך אותו שטח שהדפדפן הקצה לאתר על חשבון שורת הכתובות המקורית, ואז לא תוכלו לדעת כלל שנלכדתם על ידי האתר. פישר אפילו הוסיף אלמנט נוסף שיגרום לכך שאפילו אם תעלו לתחילת העמוד, עדיין תראו את שורת הכתובות הפיקטיבית, ואפילו מוסיף אפקט שיגרום לכם לחשוב שריפרשתם את העמוד.

פעם הבאה תקרא את הכתבה יותר לעומק…

dnk
Guest

כשגוררים את השורה המזויפת עצמה, השורה המקורית מופיעה. תנסה לפני שאתה קופץ. זה שכתבו שזאת הדרך היחידה, זה לא בהכרח אומר שאין דרך אחרת.

איזה עידן זה!!!
Guest

מחווה לסרט “התחלה”
חחחחחחחח

חם כמו יפת
Guest

שיאפשרו לעשות customization לשורת הכתובת (או פשוט שיאפשרו themes גם בנייד) ואז אנשים ייתרגלו לראות את שורת הכתובת בצבע ועיצוב ספציפיים (ושורת כתובת מזוייפת לא תראה אותנטית).

אדם
Guest

חחחח

bar_left.png
wpDiscuz

תגיות לכתבה: