Разработчик Джеймс Фишер обнаружил в Chrome для мобильных устройств довольно простую уязвимость, которая основана на том, как приложение отображает адресную строку. Когда пользователь прокручивает страницу сверху вниз, происходит отображение фальшивой адресной строки, которая не исчезнет, пока не произойдёт переход на другой сайт. При этом злоумышленник может даже обработать страницу таким образом, чтобы пользователь не увидел реальную адресную строку при прокрутке вверх, пишет akolyfun.ru со ссылкой на itc.ua.
Данный метод ориентирован на Chrome и пока является лишь подтверждением концепции, но теоретически он может использоваться для отображения поддельных адресных строк для различных браузеров и даже включения интерактивных элементов. Таким образом, злоумышленники могут создать фишинговый сайт, который внешне невозможно отличить от реального сайта (или отличия могут быть в виде содержания страницы). При этом посетитель такого сайта не сможет проверить фактический адрес сайта, так как фальшивая адресная строка будет показывать заданную информацию, а не фактический URL.
Пока что Google никак не прокомментировала эту информацию. Также нет сведений о том, насколько широко злоумышленники смогут использовать этот метод. В качестве средства борьбы с ним можно воспользоваться блокировкой и последующей разблокировкой смартфона, что позволяет вернуть на экран реальную адресную строку.