Ontwikkelaar misleidt Android-gebruikers met 'Inception-balk' in Chrome

Een ontwikkelaar heeft een mogelijk beveiligingsrisico aangetroffen in Chrome. Het is mogelijk om de url-balk verborgen te houden, terwijl de pagina een eigen url-balk weergeeft. Dat opent de mogelijkheid om gebruiken te misleiden voor bijvoorbeeld phishing.

Vanwege de werking via een webpagina in de webpagina de gebruiker voor de gek te houden, noemt James Fisher het de 'Inception-balk'. Zijn proof-of-concept bevat geen malware, maar toont wel hoe het werkt. Zo toont de pagina met de uitleg bij het omhoog scrollen een url-balk met daarin de pagina van de bank HSBC. Daardoor zouden kwaadwillenden de techniek kunnen gebruiken bij spoofing.

Als de url-balk uit beeld verdwijnt, zet de ontwikkelaar de hele pagina in een 'scroll jail', met een scroll:overflow-element in de code. Als de gebruiker vervolgens omhoog scrollt, gebeurt dat in dat element van de webpagina, maar niet op de pagina zelf. Daardoor zal Chrome de url-balk niet opnieuw weergeven.

De techniek werkt ook met helemaal omhoog scrollen met een groot padding-element aan de bovenkant van de pagina. Die zet de gebruiker terug op het begin van het artikel. De techniek werkt niet vlekkeloos. In sommige gevallen geeft de browser de balk wel weer en is er dus een dubbele balk te zien.

De techniek zou niet meer werken als Google besluit om de url-balk niet automatisch te verbergen in Chrome voor Android. Dat gebeurt vooralsnog wel, waardoor deze techniek voorlopig blijft functioneren. Google heeft nog niet gereageerd op het proof-of-concept.

Reacties (36)

kodak 29 april 2019 11:06

Leuk dat er weer een nieuwe naam voor is bedacht, maar het heet gewoonlijk address bar spoofing.

Dit soort fouten met de address bar zijn al vaker ontdekt in diverse browsers en webkits. Het gaat terug tot zeker 2004 of eerder. Een recent voorbeeld voor safari is van 2018. In 2016 werd er voor Chrome en Firefox nog 5000 USD beloning voor gegeven.

Wat ik niet begrijp is waarom Fisher er geen security melding van maakt bij Google en liever aandacht trekt door met een nieuwe naam de media op te zoeken en om upvotes te bedelen. Het lijkt hem meer te gaan om het genereren van clicks dan om het verhelpen van het probleem.

Swart_Arthur @kodak • 29 april 2019 11:59

Er was ooit een inception bug in Altavista die inderdaad feitelijk een url-spoof was. Helemaal nieuw is de naam dus niet.

ATS 29 april 2019 09:14

Dan is het idee van Webkit op iOS zo gek nog niet: de URL bar verdwijnt niet, maar verkleind daar tot een smalle bar met het site domain als een label. Zo kan je dus altijd zien op welke site je bent. En dat werkt ook in Chrome op iOS.

kiang

@ATS • 29 april 2019 11:19

"Chrome op iOS" is dan ook een generfde wrapper om WebKit heen (met dan ook nog eens wat performance penalties tegenover Safari), want Apple staat niet toe dat andere browsers een degelijk product op iOs te releasen. Stel je eens voor dat mensen een goede browser op iOS hebben...

"Chrome op iOS" is dus gewoon safari met je chrome bookmarks.

Timo002 @kiang • 29 april 2019 11:30

Waarom zou safari op iOS geen goede browser zijn?

aiko-kun @Timo002 • 29 april 2019 12:28

Het probleem is niet dat Safari geen goede browser is, maar dat Apple alle concurrentie een flinke handicap bezorgt. Je geeft vrije marktwerking een knietje in het enige waar het in mijn optiek goed voor is: Een kwaliteitsstrijd tussen producten. Waarom je eigen browser verbeteren als je de rest aan kan laten voelen als minder? Je hebt geen vergelijkingsmateriaal.

kiang

@Timo002 • 29 april 2019 13:24

Waarom moeten andere browsers op iOS verboten zijn?

Sebazzz

@ATS • 29 april 2019 17:19

Firefox op iOS heeft dit probleem wel potentieel. Daar scroll je je adresbalk wel weg.

pinna_be 29 april 2019 07:30

Daardoor kunnen gebruikers niet meer weg van de pagina.

Is dit echt een probleem? Mij lijkt dit heel eenvoudig omzeilbaar (maar misschien niet detecteerbaar).
--> druk op multitask-knop
--> ga terug naar browser
--> de originele topbalk staat er terug
--> druk op tabbladen
--> sluit het tabblad met het probleem

Edit: Begrijpelijk dat dit geen topcomment is, maar zelfs als je mijn reactie incorrect/incompleet vindt dan is deze niet per se irrelevant!

Edit2: De phishing problematiek is heel irrelevant, hopelijk lijkt het niet alsof ik heb proberen zeggen dat dit niet zo was! Ik reageerde echter op de claim dat je niet weggeraakt van de pagina!

[Reactie gewijzigd door pinna_be op 23 juli 2024 05:27]

Blokker_1999

Browsers
Google Chrome
Google

@pinna_be • 29 april 2019 07:33

Pint is dat je moet doorhebben dat er niet de originele url balk staat. In deze proof of concept is dat eenvoudig, maar als je een balk maakt die zich gedraagt als het origineel kan je als gebruiker al snel denken dat je veilig aan het surfen bent op een bepaalde site terwijl in werkelijkheid er een malafide webserver tussen zit die alles onderschept.

pinna_be @Blokker_1999 • 29 april 2019 08:52

Dat bedoelde ik met "niet detecteerbaar", maar je punt is valide. En dit kan ver gaan!

Hoe dan ook, hopelijk vinden ze een elegantere oplossing dan gewoon de echte navigatiebalk altijd te tonen! Vind het automatisch hiden van de navigatiebalk wel fijn

Admiral Freebee

@pinna_be • 29 april 2019 07:35

Natuurlijk kan je wel terug als je wil maar het gaat er meer over dat je de gebruiker kan laten denken dat hij zich op de officiële website van een bank/paypal/andere interessante site bevindt en hem zo kan overhalen zijn inloggegevens te verstrekken.

pinna_be @Admiral Freebee • 29 april 2019 09:02

Volledig mee eens, *dat* is 100% zeker een probleem!

In het artikel klinkt het echter alsof je niet kan ontsnappen zelfs al zie je dat het een valse url-balk is (tot nu toe krijg je een opvallende verspringing, en kan je goed merken wanneer een valse url-balk wordt weergegevn)!

Zoals te lezen in de reacties is het bijna triviaal om te ontsnappen (van zodra je door hebt dat de urlbalk vals is).

RobNL @pinna_be • 29 april 2019 07:36

Ja, denk eens even verder dan een Tweaker.
Tante Bep van 67 gaat het verschil niet zien hoor en gaat mogelijk nog eens de boot in mef de aanschaf van Bitcoins omdat John de Mol en Alexander Klöpping dit aanraden via de bekende advertenties.

Boy @RobNL • 29 april 2019 08:13

A-ha! Nu snap ik Klöpping's toevoeging aan zijn twitternaam "BITCOIN ADS ZIJN FAKE" xD

Jerie

@pinna_be • 29 april 2019 07:49

Is dit echt een probleem?

Ja, net als phishing is dit een probleem. Praktisch gezien nog niet omdat het nog niet wordt uitgebuit.

Verwijderd @pinna_be • 29 april 2019 08:38

.. je moet dan wel bewust zijn van het neppe balkje...
Een neppe URL balkje verwacht (bijna) niemand. Dus jouw stappenplan is leuk en aardig, maar in praktijk zul je niet zo gauw denken "Is dit wel een echt URL balkje?".

PearlChoco 29 april 2019 09:06

Net getest, werkt inderdaad zowel op mijn Samsung browser als in Opera.

In dit geval heb ik wel het voordeel dat ik Chrome niet (meer) gebruik; de formatting van de balk is in Opera anders dan in Chrome waardoor het verschil onmidddellijk opvalt.

Anderzijds wel een zeer sluwe trick, denk dat 90% van de modale gebruikers er in zou trappen (mezelf incluis

angelina @PearlChoco • 29 april 2019 09:21

De ontwikkelaar heeft alleen een proof of concept geschreven. Iemand anders zou er een volledig 'werkende' oplossing kunnen schrijven die, afhankelijk van de gebruikte browser ook de bijbehorende 'juiste' url balk kunnen tonen.

In het voorbeeld is de url balk ook niet klikbaar. Iemand anders zou het misschien wel interactief kunnen maken en het invullen van de url toelaten. En als je naar een email/bankpagina gaat, de fake inhoud tonen en zo je codes/passwords achterhalen (vandaar phishing).

[Reactie gewijzigd door angelina op 23 juli 2024 05:27]

telenut 29 april 2019 09:44

Ik zou er vooralsnog weinig last van hebben denk ik...
lastpass gaat automatisch gegevens invullen op gekende domeinen, niet op basis van wat te zien is op het scherm :-)

P_Tingen @telenut • 29 april 2019 10:15

Damn, dat is waar ook; ik gebruik zelf ook LastPass, maar ik had er nooit bij stilgestaan dat het feit dat LP alleen op het bekende domein werkt, op zichzelf ook al een extra veiligheidslaag met zich meebrengt.

semicon 29 april 2019 07:50

Ben benieuwd hoe ze dit gaan oplossen!

Ik ben zelf echt niet fan van floating/sticky elementen op mobile designs, dat is een persoonlijke mening, maar ik vind het eigenlijk altijd storend op webpagina's (niet op apps, wel op webpagina's).

Hoe zouden ze dit aan de browserkant kunnen detecteren? Het kan natuurlijk ook zo zijn dat we gewoon een soort box-shadow gaan krijgen aan de bovenkant van de browser (als hij ingeklapt is) zodat als je dit faked dat je dat ziet over het menu, maar dan hebben alle 'normale' menu's nu er ook last van (again, ik persoonlijk zou dit totaal niet erg vinden, minder sites komen dan wss met zo'n bar, yes! Maar goed erg realistisch is dit niet).

Alex3 29 april 2019 13:06

In Firefox verdwijnt de adresbalk ook als je omhoog scrollt, dus daarmee zal het ook wel lukken.
Het is enigszins te vergelijken met het verbergen van extensies in Windows: als blabla.txt.exe ziet er uit als blabla.txt. Verbergen is nooit goed, het is een vorm van dom houden.

Verwijderd 29 april 2019 07:28

"Daardoor kunnen gebruikers niet meer weg van de pagina.".
Nou, bij mij wel hoor. Twee keer op "nieuwe pagina" drukken.

Mel33 @Verwijderd • 29 april 2019 07:34

Sorry maar daar gaat het niet om, het gaat erom dat ze een urlbalk krijgen van de site zelf, en dus in de site zelf bijvoorbeeld een nep Google gebruikt wordt, zonder dat je het door hebt op je mobiel.

arjan1995 29 april 2019 07:49

Het filmpje doet het niet (op mijn iPhone 8 )

[Reactie gewijzigd door arjan1995 op 23 juli 2024 05:27]

Helsie 29 april 2019 07:56

In mijn Android Chrome browser werkt de demo van de hack niet, dus volgens mij is het al opgelost.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (36)

Sorteer op:

Weergave: