von Martin Brinkmann am 25. Januar 2019 in Google-Chrome – 2 Kommentare
Web-Browser unterstützen eine wachsende Anzahl von APIs und Funktionen, und es scheint nicht ein Ende in Sicht.
Die jüngsten Ergänzungen zu Google Chrome, die WebUSB und WebBluetooth APIs erlauben Websites, um die Interaktion mit Geräten mit dem Gerät verbunden ist den browser ausgeführt wird.
Es gibt zwar sicherlich Fälle, in denen dies nützlich sein kann, ist es manchmal der Fall, dass die Einführung der neuen Funktionen hat unvorhergesehene Konsequenzen.
Im Fall von WebUSB und WebBluetooth, es öffnet die Türen für ausgeklügelte phishing-Angriffen, konnte bypass hardware-basierte zwei-Faktor-Authentifizierung Geräte wie einige Yubikey-Geräte.
Sicherheits-Forscher zeigten vor kurzem, dass die WebUSB Funktionen des Google Chrome web-browser genutzt werden kann, um die Interaktion mit zwei-Faktor-Authentifizierung-Geräte direkt und nicht Google Chrome ‘ s API (U2F) für diesen Zweck entwickelt wurde.
Der Angriff umgeht jeden Schutz die zwei-Faktor-Authentifizierung bieten Geräte anfällig sind. Geräte unterstützen müssen Protokolle für die Verbindung zu einem anderen browser, als durch U2F für den Angriff zu arbeiten und die Benutzer für die Interaktion benötigen, mit der phishing-Website für die Attacke erfolgreich durchgeführt werden.
Chrome zeigt eine Eingabeaufforderung an, wenn eine Website versucht, WebUSB oder WebBluetooth. Die Bedürfnisse der Benutzer zu erlauben, die Anfrage, und geben oder fügen Sie den account-Benutzernamen und Passwort in dafür vorgesehenen Formulare auf der Website.
Während das stellt eine Hürde, eine, die Interaktion mit dem Benutzer erforderlich, bevor es durchgeführt werden kann, tut es immer noch betonen, dass neue Funktionen eröffnen neue Möglichkeiten für Missbrauch.
Benutzer müssen die Aufmerksamkeit auf die Erlaubnis Dialoge, zeigt der browser Ihnen. Angriff Websites, könnte so ausgelegt werden, um Benutzern die Gewissheit, dass eine solche Genehmigung Ansagen sind nötig für die Funktionalität. Während es ist unklar, wie viele Nutzer fallen würde, vor allem diejenigen, die mit der hardware der zwei-Faktor-Authentifizierung-Geräte, ist es fast sicher, dass einige würden.
Die beiden open-source-browser-Erweiterungen Deaktivieren WebUSB und Deaktivieren WebBluetooth-Adresse das Problem direkt; Sie blockieren die APIs im browser, so dass Sie nicht missbraucht werden. Es sollte klar sein, dass diese Erweiterungen wird blockiert jegliche Interaktion mit diesen APIs; es unterscheidet nicht zwischen guten und schlechten Anfragen.
Wenn Sie nie verwenden WebUSB oder WebBluetooth, möchten Sie vielleicht erwägen Sie die Installation der Erweiterungen für extra viel Sicherheit. Die Erweiterungen, die im hintergrund ausgeführt und blockieren jeden Versuch, die Nutzung der WebUSB oder WebBluetooth API.
Jetzt Sie: haben Sie deaktivieren Sie bestimmte browser-Funktionen?