آسیبپذیری جدید نسخه اندروید مرورگر کروم در نوار آدرس
آسیبپذیری جدید کشفشده در نسخه موبایل گوگل کروم اجازه میدهد نوار آدرس اصلی با یک نوار آدرس تقلبی جایگزین شود.
بنابر گزارش وبسایت 9To5Google، یک برنامهنویس بهنام جیم فیشر برای اثبات این ادعا جزییاتی از اکسپلویت جدید را منتشر کرده است. همانطور که کاربران نسخه موبایل مرورگر کروم اطلاع دارند، هنگام اسکرول کردن به سمت پایین صفحه، نوار آدرس بالای مرورگر محو میشود تا فضای بیشتری به محتوا تعلق گیرد و هنگامی که دوباره بهسمت بالای صفحه اسکرول شود نوار آدرس پدیدار میشود. فیشر این مرورگر را بهگونهای بهدام انداخته است که نوار آدرس واقعی هنگام اسکرول به بالای صفحه، دیگر ظاهر نمیشود.
نحوه کار این اکسپلویت به این گونه است که پس از محو شدن نوار آدرس واقعی، محتوای صفحه را درون «دام اسکرول» قرار میدهد؛ در این صورت وقتی که کاربر بهسمت بالای صفحه اسکرول کند درواقع درون دام اسکرول گیر میافتد و دیگر نوار آدرس اصلی نمایان نمیشود. این اتفاق اجازه میدهد نوار آدرس واقعی، با نوع تقلبی آن جایگزین شود که فیشر آن را «نوار شروع» نامیده است و بهگونهای طبیعی جلوه میکند که کاربر شک نمیکند.
فیشر عقیده دارد که اگر یک وبسایت سوءاستفادهگر بیشتر روی این اکسپلویت کار کند، میتواند نوع مرورگر کاربر را تشخیص دهد و نوار آدرس دلخواه خود را جایگزین آن کند؛ حتی اگر مرورگر کاربر کروم نباشد. همچنین امکان تعاملی کردن نوار آدرس تقلبی وجود دارد که دراینصورت میتوان بدون توجه به آدرسی که کاربر تایپ کرده، او را به وبسایت دلخواه دیگر ارجاع داد.
مشکل این اکسپلویت آن است که راهحل آسانی برای رفع آن وجود ندارد. فیشر میگوید گوگل باید فضای کوچکی از صفحه را به نوار آدرس اصلی مرورگر اختصاص دهد، بهگونهای که دیگر محو نشود. با انجام چنین کاری کاربر میتواند نوار آدرس تقلبی را تشخیص دهد؛ چون زیر نوار آدرس اصلی قرار میگیرد و بسیار واضح خواهد بود.
نظرات