Les efforts de Google au cours de l’année pour améliorer son navigateur Chrome sur les plates-formes mobiles ont maintenant donné lieu à un nouvel exploit qui pourrait être utilisé dans les attaques de phishing sur Android et iOS, selon le chercheur en sécurité James Fisher. Plus précisément, le chercheur dit qu’une combinaison de l’Omnibox d’URL à masquage automatique de Chrome et de fonctionnalités sophistiquées qui permettent aux développeurs Web de mieux contrôler les interactions d’un site Web pourraient permettre à de mauvais acteurs de créer de fausses barres d’URL pour voler les informations de l’utilisateur ou les verrouiller dans une page Web.

L’attaque potentielle est instanciée lorsqu’un développeur Web implémente sa propre interface utilisateur pour imiter l’Omnibox en haut de la page. Cela peut être chargé en tandem avec un défilement afin qu’il n’apparaisse qu’après que l’utilisateur a laissé la vraie barre d’URL derrière. Avec un remplissage suffisant au-dessus de cette interface utilisateur maquette, une page Web peut forcer l’utilisateur à revenir au contenu de la page s’il essaie de faire défiler la fausse interface utilisateur – une action que M. Fisher dit imite une actualisation de la page.

Dans les cas les plus extrêmes, où l’Omnibox disparaît complètement, les utilisateurs ne verront que la fausse boîte URL. La fausse interface utilisateur pourrait également être rendue interactive, tirant des données sur le navigateur de l’utilisateur pour établir un sosie fonctionnel. Si cela se produit, l’exploit pourrait alors être lié à d’autres vulnérabilités, permettant des redirections vers d’autres fausses pages qui volent des informations d’identification. Cela inclut les pages bancaires ou les pages de connexion par e-mail, entre autres.

Éviter le problème

Le problème est que de nombreux utilisateurs de Chrome ne remarqueraient tout simplement pas que quelque chose ne va pas dans leur Omnibox s’il est correctement mis en œuvre par une entité malveillante. La source a également noté qu’une fausse interface utilisateur Omnibox était si convaincante qu’il a interagi avec plusieurs des siens à plusieurs reprises malgré le fait qu’elle n’était pas réelle.

Pour la plupart des utilisateurs, les fonctionnalités exploitables ne poseront pas beaucoup de risques, en particulier si elles se méfient de l’endroit et du moment où les informations sensibles sont placées dans un champ et interagissent fréquemment avec la barre d’URL. Il n’y a également aucune preuve que l’exploit ait été utilisé de manière néfaste pour l’instant.

Le fait que M. Fisher soit tombé amoureux de ses propres fausses créations Omnibox révèle cependant que la diligence peut ne pas être suffisante. Les utilisateurs de Chrome doivent donc veiller à être plus conscients de leurs habitudes de navigation et des informations qu’ils saisissent en ligne.

En ce qui concerne une solution plus permanente, il ne semble pas y en avoir une au moment de la rédaction de cet article et la recherche sur la sécurité ne sait pas exactement comment le problème pourrait être résolu. Google devra peut-être cesser de masquer l’Omnibox complètement ou seulement partiellement, dit M. Fisher. La vulnérabilité peut également affecter Chrome OS si aucun correctif n’est trouvé et mis en œuvre, car Google a déjà travaillé pour apporter des modifications masquant l’interface utilisateur à cette plate-forme.

Pas la première fois et probablement pas la dernière

Ce n’est pas la première fois que Google rencontre des problèmes avec de nouvelles fonctionnalités qui perturbent la sécurité de son navigateur Web très populaire. Sur Chrome de bureau, par exemple, la société avait précédemment commencé à autoriser les développeurs Web à créer leurs propres extensions pour le navigateur et à laisser les utilisateurs les installer hors site. Cela a finalement conduit à la création et à la propagation d’extensions fausses ou malveillantes, obligeant Google à annuler complètement ce changement.

Google a également dépensé énormément de ressources et de temps pour rendre Chrome plus convivial et immersif. Pris ensemble, cela a conduit à l’exploit en question. Il reste à voir si ou comment Google résout le dernier problème, mais cela peut se révéler être une situation similaire, la seule solution viable étant de supprimer les fonctionnalités.

Quoi qu’il en soit, alors que le géant de la recherche continue de percer de nouveaux horizons en matière d’immersion et de PWA pour cimenter davantage son placement en haut de la pile du navigateur, il y aura presque certainement plus de problèmes qui surgiront.

Laisser un commentaire