av Martin Brinkmann 25. januar 2019 i Google Chrome – Ingen kommentarer
Nettlesere støtter et økende antall av Api-er og funksjoner, og det synes ikke å være et mål i sikte.
Nylig lagt til Google Chrome, WebUSB og WebBluetooth Api gir nettsteder tillatelse til å kommunisere med enheter som er koblet til enheten og nettleseren kjører på.
Mens det er sikkert tilfeller der dette kan være nyttig, er det noen ganger slik at innføring av nye funksjoner har uforutsette konsekvenser.
I tilfelle av WebUSB og WebBluetooth, det er å åpne dørene for sofistikerte phishing-angrep som kan omgå maskinvare-baserte to-faktor autentisering enheter, for eksempel noen Yubikey enheter.
Security forskere viste nylig at WebUSB funksjonalitet i Google Chrome-nettleser kan brukes til å samhandle med to-faktor autentisering enheter direkte og ikke i Google Chrome API (U2F) designet for det formålet.
Angrepet omgår noen beskyttelse som to-faktor autentisering enheter-tilbud som er utsatt. Enhetene må ha støtte for protokoller for å koble til en nettleser andre enn gjennom U2F for angrepet til arbeid og brukere som trenger å snakke med phishing-område for angrepet for å være utført med hell.
Chrome viser en melding når et nettsted forsøker å bruke WebUSB eller WebBluetooth. Brukeren trenger for å tillate forespørsel, og skriv eller lim inn kontoens brukernavn og passord i egne skjemaer på nettstedet.
Samtidig som setter en barriere på plass, som krever at brukeren foretar seg noe, før det kan utføres, det betyr likevel fremheve at nye funksjoner kan åpne opp nye muligheter for misbruk.
Brukere må ta hensyn til at tillatelse dialoger at nettleseren viser til dem. Angripe nettsteder kan være utformet på en måte å gi brukere med forsikring om at slik tillatelse ber er nødvendig for funksjonaliteten. Mens det er uklart hvor mange brukere som ville falle for det, spesielt de som bruker maskinvare to-faktor autentisering enheter, og det er nesten sikker på at noen ville.
De to open source leserutvidelser Deaktivere WebUSB og Deaktivere WebBluetooth løse problemet direkte; de blokkerer Api-ene i nettleseren, slik at de kan ikke bli misbrukt. Det bør være klart at disse utvidelsene vil blokkere interaksjonen med disse Api-ene; den skiller ikke mellom gode og dårlige forespørsler.
Hvis du aldri bruker WebUSB eller WebBluetooth, kan du vurdere å installere utvidelser for litt ekstra sikkerhet. Utvidelser kjører stille i bakgrunnen, og blokkerer alle forsøk på å bruke WebUSB eller WebBluetooth API.
Nå er Du: har du deaktivere visse nettleser funksjoner?