Chrome'ist avastatud üliohtlik turvaauk võimaldab uudseid andmepüügirünnakuid

 (14)

Kui sa tahad teada, mis veebilehel sa parajasti asud, siis on kõige kindlam moodus vaadata aadressiriba. Selgub, et see põhimõte enam ei kehti.

Nimelt tuvastas veebiarendaja James Fisher Google Chrome'i mobiiliversioonist turvavea, mis võimaldab ründajal näidata mobiilis brauseri kasutajale aadressiribal mistahes veebiaadressi. Fisheri sõnul on probleem seotud Chrome'is kasutatava optimeerimissüsteemiga, mis allapoole kerides aadressiriba ära kaotab.

Ründaja saab luua oma aadressiriba, mis tavalisest aadressiribast mitte millegi poolest ei erine. Kellel soov näha, kuidas süsteem praktikas toimib, võib külastada Fisheri kodulehte, kus ta probleemi näitlikustamiseks seda rakendab või vaadata artikli päises olevat videot. Selleks, et võltsaadressiribast lahti saada, tuleb kas Chrome sulgeda ja mõni teine rakendus avada või telefoni ekraan korraks välja lülitada ja uuesti tööle panna.

Sellist süsteemi saaks kasutada näiteks võltspangalehe loomiseks või muude oluliste isikuandmete varastamiseks - väljanägemiselt on lehel justkui kõik õige ning ka aadressiribal olev aadress on näiliselt õige. Tegelikult sisestad oma ülisalajasi andmeid aga hoopis petturi lehele.

Fisher kirjutab oma blogis, et mingisugust head võimalust enda sellise rünnaku eest kaitsmiseks ei olegi, tegemist on lihtsalt tõsise veaga Chrome'i mobiiliversioonis. Kõige lollikindlam versioon on hoida pidevalt aadressiribal silm peal ning seda kohe lehele sattudes, kuna just allapoole kerides võib võltsaadressriba võimust võtta.