af Martin Brinkmann på 25 januar 2019 i Google Chrome – 2 kommentarer
Web-browsere understøtter et stigende antal af Api ‘ er og funktioner, og at der ikke synes at være nogen ende i sigte.
De seneste tilføjelser til Google Chrome, WebUSB og WebBluetooth Api ‘ er, som giver websites tilladelse til at interagere med enheder, der er tilsluttet til enheden browseren kører på.
Mens der er helt sikkert tilfælde, hvor dette kan være nyttigt, er det nogle gange sådan, at indførelse af nye funktioner har uforudsete konsekvenser.
I tilfælde af WebUSB og WebBluetooth, det er at åbne dørene for avanceret phishing-angreb, der kan omgå hardware-baseret to-faktor autentificering-enheder, såsom nogle Yubikey enheder.
Sikkerhed forskere har for nylig påvist, at WebUSB funktionaliteten i Google Chrome browser kan bruges til at interagere med to-faktor autentificering enheder direkte, og ikke Google Chrome ‘ s API (U2F), der er beregnet til dette formål.
Angrebet uden nogen form for beskyttelse, at to-faktor-autentificering enheder tilbud, der er modtagelige. Enheder skal understøtte protokoller til at oprette forbindelse til en anden browser end gennem U2F for angrebet til at arbejde, og brugere har brug for at interagere med phishing-websted for angrebet til at blive gennemført med succes.
Chrome viser en meddelelse, når et websted forsøger at bruge WebUSB eller WebBluetooth. Brugeren er nødt til at tillade anmodning, og skriv eller indsæt-kontos brugernavn og adgangskode i bestemte formularer på webstedet.
Mens der sætter en barriere på plads, som kræver brugerindgriben, før den kan gennemføres, er det stadig fremhæve, at nye funktioner kan åbne op for nye muligheder for misbrug.
Brugere skal være opmærksomme på at tilladelse dialoger, at browseren viser dem. Angreb steder kunne være designet på en måde at give brugerne sikkerhed for, at en sådan tilladelse, beder er nødvendige for funktionaliteten. Mens det er uklart, hvor mange brugere, der ville falde for den, især dem, der bruger hardware to-faktor-autentificering enheder, er det næsten sikkert, at nogle ville.
De to open source-browser udvidelser Deaktivere WebUSB og Deaktivere WebBluetooth spørgsmålet direkte, men de blokerer for Api ‘ en i browseren, så at de ikke kan blive misbrugt. Det bør være klart, at disse udvidelser vil blokere enhver interaktion med disse Api ‘ er; den skelner ikke mellem gode og dårlige anmodninger.
Hvis du aldrig bruger WebUSB eller WebBluetooth, du måske ønsker at overveje at installere udvidelser til lidt ekstra sikkerhed. Udvidelserne køre i baggrunden og blokere ethvert forsøg på at bruge WebUSB eller WebBluetooth API.
Nu kan Du: har du deaktivere visse browser-funktioner?