Quella che appariva essere una funzionalità, si è rivelata essere un vettore d’attacco phishing. Inception Bar è un nuovo tipo di attacco che colpisce l’app Google Chrome per Android consentendo agli hacker sostituire la barra degli indirizzi del noto browser con una creata ad-hoc. “Al momento non ci sono patch o aggiornamenti di sicurezza da parte di Google”, spiega a Cybersecurity360 Fabio Cogno, IT & Cyber Security Unit, Certimeter Group.
Indice degli argomenti
Come funziona Inception Bar
Normalmente, “quando si scorre verso il basso in una pagina web su Chrome per Android, il browser nasconde automaticamente la barra degli indirizzi. Quando l’utente scorre la pagina verso l’alto, la barra degli indirizzi viene nuovamente visualizzata consentendo all’utente di navigare su altri siti digitandone l’indirizzo oppure di eseguire una ricerca digitando le parole chiave che si desidera cercare – precisa Cogno spiegando il funzionamento canonico dell’app -. L’obiettivo di Google nell’implementare questa funzionalità è massimizzare lo spazio su una famiglia di dispositivi che per natura hanno dimensioni più o meno piccole, ovvero dare quanto più spazio possibile al contenuto del sito che si sta visualizzando.
Gli esponenti del cyber crime starebbero sfruttando proprio questa funzionalità a loro favore creando “una barra del tutto simile a quella originale che si sostituisce appunto a quella del browser. Questo induce gli utenti meno attenti a credere di usare la barra degli indirizzi del browser, per esempio navigando sul sito della propria banca o sul proprio account Facebook, mentre stanno consegnando le proprie password e le proprie informazioni personali a dei malviventi”, precisa l’esperto di Certimer Group.
Inoltre, risulta impossibile visualizzare la barra degli indirizzi originale senza chiudere il browser o senza mettere l’app in background ad esempio aprendo un’altra app. L’utente potrebbe quindi non accorgersi dell’attacco per tutta la durata della navigazione, consentendo agli hacker di rubare sempre più informazioni e dati.
Cosa rende possibile l’attacco
James Fisher, il ricercatore che ha individuato la falla, ha chiamato questo bug “scroll jail” “proprio perché l’utente resta imprigionato all’interno del sito malevolo senza riuscire ad uscire e quindi a visualizzare la barra degli indirizzi di Google Chrome. Come nei sogni dei protagonisti del famoso film di Nolan, “Inception”, l’utente crede di usare il proprio browser ma in realtà sta usando un browser all’interno del proprio browser”, ha aggiunto Cogno.
L’attacco è possibile principalmente per due ragioni: “Il browser nasconde la barra cedendo spazio al sito quando l’utente scorre la pagina verso il basso. Al tempo stesso il sito compromesso sfrutta un nuovo valore della proprietà CSS “overflow”, il valore “scroll” – ha confermato Cogno -. Tale proprietà consente di muoversi verso l’alto o verso il basso all’interno di un contenitore, da qua il nome “scroll jail”. Gli hacker inseriscono il contenuto del sito all’interno del contenitore dando all’utente l’impressione di muoversi nella pagina mentre per il browser la pagina non si muove affatto e quindi non visualizza la barra degli indirizzi”.
Come difendersi
Per Gerardo Costabile, CEO di DeepCyber, “l’utilizzo dei telefoni cellulari e tablet ha portato ad un approccio di sviluppo teso a minimizzare le informazioni e migliorare l’efficacia della navigazione e quindi della user esperience. Analogamente questo approccio Smart si presta (come nel caso della scoperta sull’inception bar) a scenari di phishing certamente più subdoli”. Secondo “le nostre statistiche – aggiunge Costabile – frutto di numerose simulazioni di ethical phishing nelle aziende per misurare la sicurezza del fattore umano, circa il 20-30% dei dipendenti cade in trappola, di cui circa 2/3 navigando da smartphone e tablet. Con il telefono si è più abituati a cliccare ovunque, si ha una minore diffidenza e resistenza in termini di sicurezza e l’età media delle vittime si abbassa notevolmente, mentre il titolo di studio è inversamente proporzionale”.
Al momento Google “non ha ancora affrontato il problema anche in considerazione del fatto che non si tratta di una vera e propria vulnerabilità. L’attacco colpisce e può ingannare gli utenti meno attenti quindi come ci si può difendere? L’unico momento in cui l’utente può verificare l’URL della pagina che sta visualizzando è al caricamento della stessa, prima di scorrere la pagina. Successivamente non c’è modo di capire se si è stati attacchi quindi è di fondamentale importanza verificare l’URL della pagina in fase di caricamento e prima di iniziare visualizzare il contenuto e scorrere la pagina. Il ricercatore che ha individuato la falla ha creato un “Proof of Concept” proprio sul post che descrive l’attacco”, precisa Fabio Cogno. Visualizzando il suo blog da Chrome per Android è possibile capire il funzionamento di base del possibile attacco.
Per il consulente informatico forense Paolo Dal Checco, “la problematica della Inception Bar, rilevata di recente da alcuni ricercatori sul browser Chrome per smartphone Android, è particolarmente insidiosa per la facilità con la quale può essere sfruttata per rendere maggiormente efficaci gli attacchi di phishing. In sostanza, chiunque è in grado di far comparire, su una pagina sotto il proprio controllo aperta dal browser Chrome per Android, una finta barra degli indirizzi contenente un testo a propria scelta. Se il testo scelto è, ad esempio, l’indirizzo della banca della quale si sta emulando la pagina di accesso, l’attacco di phishing diventa davvero difficile da rilevare. Fortunatamente, la sostituzione della barra degli indirizzi avviene dopo aver avviato lo scorrimento della pagina verso il basso, quindi all’apertura della pagina viene comunque mostrato il vero indirizzo. Purtroppo però, una volta scorsa verso il basso la pagina, la sostituzione dell’indirizzo è permanente e non si riesce più a visualizzare quello originale”.
I rischi per utenti e professionisti
Il rischio principale è il furto di dati e informazioni. Inception Bar colpisce indistintamente normali cittadini, professionisti e smart worker che si dovessero trovare a navigare sull’app Chrome di Android. Le minacce per i comuni utenti si possono tradurre in sottrazione di password, dati bancari e personali, per utilizzarli in modo malevolo. Per chi si trovasse invece a lavorare con tale app, i rischi sono di ripercussioni sulla security della propria azienda di riferimento. La minaccia si somma infatti ai già noti rischi in ambito smart working e ancora una volta sono riconducibili al furto di dati, in questo caso non solo personali ma anche aziendali. Non essendoci un vero modo per difendersi e non essendo stata predisposta ancora un’adeguata contro misura, la soluzione è informare gli utenti e i lavoratori sulla presenza della minaccia e consigliar loro di prestare particolare attenzione nel momento in cui si carica la pagina, per notare eventuali incongruità nella URL.
Il consiglio per l’utente medio è quello “di installare sistemi di protezione contro malware, a tutela della privacy e della navigazione web, privilegiando l’utilizzo di app dedicate per i servizi di home banking e pagamenti. La giuste dose di diffidenza resta comunque una buona prassi, una sorta di Human firewall, specialmente per le aziende che, a tal fine, dovranno prevedere programmi periodici di simulazione e misurazione di questi rischi (mediante campagne di ethical phishing), oltre che erogare formazione interattiva per aggiornare in ordine alla consapevolezza di queste nuove minacce (privilegiando forme moderne di formazione, tramite gamification)”, conclude Costabile.
