articulos utiles

Cómo detectar una barra de direcciones falsa en Chrome en Android

Las páginas de inicio de sesión falsas son un método común de phishing de credenciales de inicio de sesión de los usuarios. Si un sitio web parece legítimo, es fácil que su memoria muscular se active y que comience a escribir su nombre de usuario y contraseña sin verificar que la URL sea correcta (o que el sitio web sea legítimo). Para complicar las cosas, hay un nuevo problema, recientemente presentado por el desarrollador Jim Fisher, que muestra cuán fácil es para un sitio web usar una barra de direcciones falsa para hacerte pensar que estás en un lugar donde no estás.

Por lo general, puede echar un vistazo al icono del candado a la izquierda de la barra de direcciones para averiguar si un sitio web es auténtico o no. Sin embargo, no confíe ciegamente en ese pequeño gráfico, ya que los phishers han ideado una forma para que las páginas web móviles muestren barras de URL falsas en Chrome que incluyen el icono del candado como una URL de reemplazo. Esta "barra de inicio", como se la conoce, reemplaza la barra de direcciones real en su ventana de navegación. Si no está prestando mucha atención, puede suponer que su navegador funciona según lo previsto.

Todo este truco es posible porque la interfaz de usuario en la versión móvil de Chrome a menudo desaparece a medida que se desplaza hacia abajo en una página, y los desarrolladores de sitios web pueden anular y evitar que vuelva a aparecer la interfaz de usuario, incluida la barra de URL. Como Fisher describe:

Esto es malo, pero empeora. Normalmente, cuando el usuario se desplaza hacia arriba, Chrome volverá a mostrar la verdadera barra de URL. ¡Pero podemos engañar a Chrome para que nunca vuelva a mostrar la verdadera barra de URL! Una vez que Chrome oculta la barra de URL, movemos todo el contenido de la página a una “cárcel de desplazamiento”, es decir, un nuevo elemento con desbordamiento: desplazamiento. ¡Entonces el usuario piensa que se está desplazando hacia arriba en la página, pero en realidad solo se está desplazando hacia arriba en la cárcel de desplazamiento! Como un sueño en Inception, el usuario cree que está en su propio navegador, pero en realidad está en un navegador dentro de su navegador.

¡Pero se pone aún peor! Incluso con la "cárcel de desplazamiento" anterior, el usuario debería poder desplazarse hasta la parte superior de la cárcel, en cuyo momento Chrome volverá a mostrar la barra de URL. ¡Pero también podemos desactivar este comportamiento! Insertamos un elemento de relleno muy alto en la parte superior de la cárcel de desplazamiento. Luego, si el usuario intenta desplazarse hacia el relleno, ¡volveremos a desplazarlo hasta el inicio del contenido! Parece una actualización de página.

Google está trabajando en soluciones para esta codificación inteligente, pero aún tiene algunos trucos para revelar estas molestas barras de inicio:

  • Puede forzar a la aplicación Chrome a mostrar la interfaz de usuario, incluso si el sitio web normalmente la bloquea. Todo lo que tiene que hacer es bloquear la pantalla del teléfono mientras la aplicación Chrome está abierta, luego desbloquearla. Esto restablece la ventana de la aplicación Chrome para que se muestre la IU. Si la URL es falsa, verá que se muestran dos barras de URL: la de arriba es la URL verdadera y la de abajo es la barra de inicio.
  • Si está navegando con varias pestañas abiertas, vigile de cerca el número que se muestra en el icono de pestañas. Las barras de inicio a menudo muestran números incorrectos aquí.
  • El nuevo modo oscuro en Chrome Android también hace que sea más fácil detectar barras de inicio. Cuando el modo oscuro está habilitado, la barra de URL y otros elementos de la interfaz de usuario serán negros, por lo que las barras de URL blancas (falsas) son más fáciles de detectar, o viceversa, si está utilizando el tema normal de la interfaz de usuario móvil de Chrome y la URL falsa es negra . Esto también es cierto cuando se utiliza el modo lector, modos de interfaz de usuario más simples o temas alternativos en Chrome mobile que cambian la apariencia de la barra de URL.