25.07.2018 10:25
agulitsky 9 8400 Источник

Разработчики мобильных браузеров уже давно пытаются стереть различия между сайтами и приложениями (да, я смотрю на тебя, PWA), и у них это вполне неплохо получается. Но всё таки остался ещё один концепт, который делает веб вебом и не даёт реализовать максимально сходный с нативным приложением пользовательский опыт — это URL в адресной строке браузера. Предлагаю узнать, как с этой проблемой справляется, скажем, китайский CM Browser.
CM Browser


Открываем Хабр, и видим, что по умолчанию в адресной строке отображается title страницы.



А чтобы увидеть URL, нужно тапнуть по адресной строке.



В принципе, понятно, как всё это работает. Теперь вопрос — это настоящий bitcoin.org, или нет? Даже зелёный замочек HTTPS в наличии.


bitcoin.org


На самом деле, этот сайт отобразил написанный мной небольшой скрипт (поменяйте параметр url, как ни странно, в URL и проверьте работу на других сайтах). Исходный код скрипта можно найти на GitHub.



Таким образом, мы получаем достаточно простую в реализации и эффективную (особенно в сочетании с омографичным доменом) возможность для фишинга как минимум 50 миллионов пользователей. Надеюсь, Cheetah Mobile и родительская Kingsoft как можно скорее обратят внимание на эту проблему.

Комментарии (9)


  1. g0rd1as
    25.07.2018 19:14
    #18921029

    А вы им заранее написали об этом? Принято вроде сначала сообщать производителю, а уж если они дыру не латают — тогда сообщать всей честнОй общественности. :)


    1. Theodor
      25.07.2018 20:19
      #18921225
      +4

      Это же не баг, а триумф эффективного дизайна над безопасностью.


  1. Tokijirichirink
    26.07.2018 06:27
    #18922093

    В прошлом году на UISG был отличный доклад на эту тему:
    13.uisgcon.org/pdf/uisgcon13-alex-starov+modern-scam-campaigns.pdf
    Смотреть с 33-го слайда.
    Общий вывод: 98% баузеров уязвимы хотя бы к одному из вариантов подобного фишинга


  1. KosBeg
    26.07.2018 06:28
    #18922095
    +1

    Не знаю чем это грозит конкретно этому сайту, но чуть напрягает — https://cheeting.now.sh/?url=javascript:alert('XSS')


    1. agulitsky Автор
      26.07.2018 06:32
      #18922099
      +1

      Целью была быстрая демонстрация проблемы, поэтому скрипт набросан за 15 минут в свободное время. Так что такое вполне может быть.


    1. agulitsky Автор
      26.07.2018 07:06
      #18922137

      Ну и, если есть желание исправить, добро пожаловать на GitHub.


  1. unibasil
    26.07.2018 06:37
    #18922105
    -2

    У меня в мобильном Chrome в адресной строке отображается адрес. Она для этого и предназначена, мне кажется. ;)


    1. UselessFire
      26.07.2018 09:51
      #18922451
      +1

      Речь про CM Browser от Cheetah Mobile


      1. unibasil
        27.07.2018 08:04
        #18926459

        О, пардон, не обратил внимания. Ну, для команды разработчиков, которые позиционируют свой браузер как «Самый безопасный браузер и загрузчик видео с Ad Blocker и лучшим антивирусом», это действительно epic fail.