Chrome-bug laat hackers toe malafide url te verbergen

Door de manier waarop Chrome op de smartphone de adresbalk weergeeft uit te buiten, kunnen hackers hun kwaadaardige phishing-url verstoppen. Der bug werd pas ontdekt door een onderzoeker, en wordt nog niet noodzakelijk in het wild misbruikt.

Wie naar beneden scrolt op een website in Chrome op de smartphone ziet als deel van het design de adresbalk en de url verdwijnen. Normaal komt die terug als je naar omhoog scrolt, maar een bug in Chrome maakt het nu mogelijk om ervoor te zorgen dat er een valse adresbalk met een valse url in de plaats verschijnt. Die blijft aanwezig totdat een slachtoffer naar een andere website surft.

Met de exploit omzeilt een crimineel mogelijks één van de belangrijkste manieren waarop slachtoffers phishing kunnen detecteren. Wie ergens op klikt en niet helemaal zeker is van de legitimiteit, dient immers naar de url te kijken. Die kan nu verborgen worden achter de echte url van een nagebootste website. Wie zijn telefoon even vergrendelt en ontgrendelt, kan de bug wel ongedaan maken.

Snel kijken.

Het probleem werd ontdekt voor beveiligingsonderzoeker James Fisher, die zijn ontdekking in een blogpost verder toelicht. Hij merkt op dat je met het bestaan van deze aanpak best meteen naar de url van een geopende website op je mobiele browser kijkt. Zodra je scrolt, die die immers niet meer te vertrouwen. Google is op de hoogte van het probleem, maar gaf nog geen commentaar.

De beste manier om een phishing-aanval te stoppen blijft natuurlijk voor je op een link klikt. Dubbelcheck van wie een e-mail afkomstig is, en vraag je telkens af of de vraag en de inhoud van een mail wel logisch zijn. En als het echt belangrijk is, en je werkt toch op je smartphone, vergrendel en ontgrendel je scherm dan even voor de zekerheid.