Er is een nieuwe Chrome-aanval aan de horizon, en man, het is een doozy. Door de vinder de “Inception Bar” genoemd, repliceert het de omnibox van Chrome, waardoor aanvallers in feite de controle over Chrome volledig kunnen overnemen.
De Inception Bar, gevonden door ontwikkelaar James Fisher, is een ongelooflijk slimme phishing-aanval die gebruikmaakt van het feit dat Chrome voor Android de omnibox verbergt – zo heet de adresbalk in Chrome – terwijl je scrolt. Zodra u een beetje naar beneden scrolt, is de omnibox verborgen en wordt deze automatisch vervangen door de vervalste balk. En het ziet er uit ongelooflijk overtuigend—Het kan zelfs de echte omnibox in een overloopcontainer vergrendelen, zodat deze niet opnieuw verschijnt als de beginbalk eenmaal op zijn plaats zit.
Hoewel het er (nog) niet uitziet dat deze aanval aanwezig is op internet, heeft Fisher een werkende proof of concept op zijn site gebouwd, die je kunt bekijken op de link. Zodra u de site bezoekt, scrolt u een beetje naar beneden op de pagina, en direct nadat de omnibox is verdwenen, ziet u de vervalste beginbalk – compleet met een nep-URL – in de plaats verschijnen. De balk werkt op dit moment niet (aangezien het slechts een proof of concept is), maar het is niet moeilijk in te zien hoe het met een klein beetje extra code een zeer realistische kloon zou kunnen worden. Het is ook vermeldenswaard dat dit nog steeds fouten bevat. Als u Chrome sluit en opnieuw opent, worden bijvoorbeeld beide balken weergegeven.
Fisher merkt in zijn bericht op dat hij geen gemakkelijke manier ziet om dit probleem op te lossen, wat heel logisch is. Omdat de website zelf de faux-balk genereert, zal het voor het Chome-team ongelooflijk moeilijk zijn om een manier te vinden om het probleem te bestrijden.
Wat betreft mogelijke manieren waarop gebruikers dit probleem kunnen voorkomen als het een legitiem probleem wordt, is de eerste eenvoudig: gebruik een andere browser. Elke pagina met de code om de Inception Bar te genereren, doet dat nog steeds, maar het zal hilarisch duidelijk zijn omdat andere browsers de omnibox van Chrome niet gebruiken. Het is ook de moeite waard om te herhalen dat dit enkel en alleen werkt op Chrome voor Android — Chrome voor iOS gebruikt een andere interface waardoor dit geen enkele vorm van overtuigende aanval is. [via Android Police]
In minder angstaanjagend nieuws vertelt Apple waarom het schermtijden-apps uit de App Store haalde, Zuck voor zijn vrouw een handige “slaapdoos” bouwde, Facebook zal over 50 jaar een necropolis zijn, Spotify haalt 100 miljoen abonnees en meer.
- Apple kraakt op schermtijd-apps: Apple heeft zijn eigen schermtijdsysteem ingebouwd in iOS. Onlangs begon het concurrerende producten uit de App Store te halen, maar Phil Schiller van het bedrijf zegt dat het niet om concurrentie gaat – ze maakten misbruik van bedrijfstools. Interessant. [AppleInsider, 9to5Mac]
- Zuckerberg bouwde voor zijn vrouw een ‘slaapbox’: Zuck zei dat zijn vrouw Priscilla het moeilijk heeft om te slapen – als ze midden in de nacht wakker wordt en weet dat de kinderen zelfs over een paar uur wakker zullen zijn, blijft ze wakker. Dus bouwde hij voor haar een doos met een subtiel licht; als het licht uit is, weet ze dat het oké is om weer in slaap te vallen. Als het aan is, kan ze doorgaan en opstaan. Allemaal zonder naar een klok te kijken, dus ze heeft niet de angst die gepaard gaat met weten hoe laat het is. Wat lief. [Zuck on Insta]
- Facebook zal over 50 jaar een necropolis zijn: Onderzoekers hebben geconcludeerd dat het ongeveer 50 jaar zal duren voordat Facebook’s dode gebruikers talrijker zijn dan de levende. Het zal zijn als Colma, Californië, waar het aantal doden 1000: 1 in aantal overtreft, maar online (oké, misschien dat extreem). [ZDNet]
- Spotify raakt een enorme molen: Spotify maakte bekend dat het nu 100 miljoen betalende abonnees heeft. Rollin ‘in dat deeg, jullie allemaal. [The Verge]
- TurboTax en H&R Block verbergen gratis archivering voor Google Zoeken: Belastingaangiftesoftware wil uw geld, maar het werd pas onlangs duidelijk hoe slecht ze werkelijk willen – TurboTax en H&R Block zouden naar verluidt de gratis archiveringslaag verbergen voor de zoekresultaten van Google. Dat betekent dat gebruikers die in aanmerking kwamen om gratis te registreren, uiteindelijk betaalden, en dat is rot. Schaduwrijke onzin. [ProPublica]
- Apple dacht erover om de smartphonemodems van Intel te kopen: Volgens een nieuw rapport van The Wall Street Journal overwoog Apple vóór de schikking met Qualcomm om Intels smartphonemodemactiviteiten op te slokken. [WSJ]
- Google publiceert geen distributienummers meer: Voor jaren, Google heeft de maandelijkse adoptiecijfers van Android gedeeld. Maar de afgelopen zes maanden is het helemaal moeder geweest, en dat is verontrustend. [XDA Developers]
- Nubia heeft een door een ventilator gekoelde 8K-gamingtelefoon gebouwd: Ben je ooit zo diep in een gamesessie op je telefoon geweest dat je naast de ingebouwde vloeistofkoeling een 8K-scherm en ventilatorkoeling nodig had? Tjonge, hebben we de telefoon voor je? [Engadget]
- De boetes voor afgeleid rijden zijn met 10.000% gestegen: Afleidend autorijden is de afgelopen tien jaar meer een probleem geworden dan ooit tevoren, en als gevolg daarvan zijn de boetes voor verzekeringsmaatschappijen met bijna 10.000 procent gestegen – van $ 2 naar $ 290. Goed. Laat ze komen totdat mensen stoppen met sms’en en autorijden. [Digital Trends]
Over afgeleid rijden gesproken, het is tijd om te praten over het beste verhaal van het weekend: een man spendeerde 13 maanden en duizenden dollars om te bewijzen dat een hashbrown inderdaad geen telefoon is.
Jason Stiber ontving een kaartje voor afgeleid autorijden van $ 300 voor het eten van een McDonald’s-hashbrown tijdens het rijden. Een officier zag het ontbijt als een smartphone en gaf Stiber een kaartje. Maar hij vocht het voor de rechtbank, waaruit bleek dat de officier op het 15e uur van een 16-uursdienst zat en dat zijn oordeel mogelijk onvoldoende was. De zaak werd vernietigd. Absoluut geweldig. [The Washington Post]
