door Martin Brinkmann op 25 januari 2019 in Google Chrome – 2 reacties
Web browsers ondersteunen een toenemend aantal Api ‘ s en functies, en er lijkt niet het einde is in zicht.
Recente toevoegingen aan Google Chrome, de WebUSB en WebBluetooth Api ‘ s, sites toe om te communiceren met apparaten die zijn aangesloten op het apparaat in de browser wordt uitgevoerd.
Hoewel er zeker gevallen waar dit nuttig kan zijn, is het soms het geval dat de introductie van nieuwe functies heeft onvoorziene gevolgen.
In het geval van WebUSB en WebBluetooth, is het openen van de deuren voor de geavanceerde phishing-aanvallen, dat zou kunnen omzeilen hardware op basis van twee-factor authenticatie-apparaten, zoals sommige Yubikey apparaten.
Beveiliging onderzoekers onlangs aangetoond dat de WebUSB functionaliteit van de Google Chrome-browser kan worden gebruikt om te communiceren met twee-factor authenticatie-apparaten rechtstreeks en niet in Google Chrome API (U2F) voor dat doel ontworpen.
De aanval omzeilt u alle bescherming die twee-factor authenticatie apparaten die gevoelig zijn. Apparaten behoefte aan ondersteuning van protocollen voor het aansluiten van een andere browser dan door U2F voor de aanval te werken en gebruikers nodig om te communiceren met de phishing-site voor de aanval met succes uitgevoerd.
Chrome geeft een aanwijzing weergegeven als een website probeert te gebruiken WebUSB of WebBluetooth. De gebruiker nodig heeft om het verzoek in, en typ of plak de gebruikersnaam en het wachtwoord in de daarvoor bestemde formulieren op de site.
Terwijl dat legt een barrière in plaats, dat vereist interactie van de gebruiker voordat het kan worden uitgevoerd, nog wel benadrukken dat de nieuwe functies kunnen openen nieuwe mogelijkheden voor misbruik.
Gebruikers aandacht aan moet besteden toestemming dialogen die de browser geeft aan hen. Aanval sites kunnen worden ontworpen op een manier om gebruikers te voorzien van de zekerheid dat een dergelijke toestemming aanwijzingen zijn noodzakelijk voor de functionaliteit. Terwijl het is onduidelijk hoeveel gebruikers zouden vallen voor die, vooral die met de hardware-twee-factor authenticatie apparaten, is het bijna zeker dat sommigen.
De twee open source browser-extensies Uitschakelen WebUSB en Uitschakelen WebBluetooth het probleem direct; ze blokkeren de Api ‘ s in de browser zodat ze niet kunnen worden misbruikt. Het mag duidelijk zijn dat deze uitbreidingen zal het blokkeren van de interactie met deze Api ‘ s; zij maakt geen onderscheid tussen goede en slechte verzoeken.
Als u gebruik nooit WebUSB of WebBluetooth, wilt u misschien overwegen het installeren van extensies voor net dat beetje extra veiligheid. De extensies die draaien op de achtergrond en blokkeren elke poging tot het gebruik van de WebUSB of WebBluetooth API.
Nu U: heeft u uitschakelen bepaalde functies van de browser?