da Martin Brinkmann il 25 gennaio, 2019 in Google Chrome – 2 commenti
I browser Web che supportano un numero crescente di funzionalità e le Api, e non sembra essere una fine in vista.
Aggiunte recenti di Google Chrome, il WebUSB e WebBluetooth Api, consentire ai siti di interagire con i dispositivi collegati al dispositivo, il browser è in esecuzione.
Mentre ci sono certamente casi in cui questo può essere utile, a volte è il caso che l’introduzione di nuove funzionalità ha conseguenze impreviste.
In caso di WebUSB e WebBluetooth, aprendo le porte per la sofisticati attacchi di phishing che potrebbe eludere basata su hardware e autenticazione a due fattori dispositivi come alcuni Yubikey dispositivi.
I ricercatori di sicurezza hanno dimostrato di recente che il WebUSB funzionalità di Google Chrome web browser può essere utilizzato per interagire con l’autenticazione a due fattori dispositivi direttamente e non di Google Chrome API (U2F) progettato per questo scopo.
L’attacco bypassa la protezione che l’autenticazione a due fattori dispositivi offerta che sono sensibili. I dispositivi devono supportare protocolli per il collegamento a un browser diverso attraverso U2F per l’attacco al lavoro e gli utenti hanno bisogno di interagire con il sito di phishing per l’attacco portato a termine con successo.
Chrome visualizza un messaggio quando un sito tenta di utilizzare WebUSB o WebBluetooth. L’utente deve consentire la richiesta, e digitare o incollare il nome utente dell’account e la password negli appositi moduli presenti sul sito.
Mentre che mette una barriera, uno che richiede l’interazione dell’utente prima di poter essere effettuati, ancora evidenziare che le nuove funzioni potrebbero aprire nuove possibilità di abuso.
Gli utenti devono prestare attenzione alla autorizzazione di finestre di dialogo che il browser visualizza. Attacco di siti può essere progettato in modo da fornire agli utenti la certezza che tale autorizzazione richieste sono necessarie per la funzionalità. Mentre non è chiaro come molti utenti sarebbe caduta per che, soprattutto quelli che utilizzano hardware di autenticazione a due fattori dispositivi, è quasi certo che alcuni vorrebbero.
I due browser open source estensioni Disattivare WebUSB e Disattivare WebBluetooth risolvere il problema direttamente; il blocco delle Api nel browser in modo che essi non possono essere oggetto di abusi. Dovrebbe essere chiaro che queste estensioni blocca ogni interazione con queste Api; non distinguere tra il bene e il male richieste.
Se non si utilizza mai WebUSB o WebBluetooth, si può considerare la possibilità di installare le estensioni per che extra po ‘ di sicurezza. Le estensioni vengono eseguiti in background e bloccare qualsiasi tentativo di utilizzare il WebUSB o WebBluetooth API.
Ora: ti disattivare alcune funzioni del browser?