Ultra säker e-post: Gmail och lägger till MTA-STS och TLS Reporting standards
Rullade Google ut MTA-STS och TLS Rapportering stöd för Gmail-servrar den 10 April 2019.
Google meddelade i dag en säkerhetsuppdatering för Google-användaren är inloggad på systemet som företaget hoppas ska förbättra sin övergripande säkerhet och skydd mot MitM-baserade phishing-attacker.
Enligt Jonathan Skelker, produktchef och Konto Säkerhet för Google, planerar företaget att blockera alla användare inloggningsförsök initieras från en inbäddad webbläsare ram-teknik.
Detta inkluderar alla försök till inloggningar från verktyg som Krom Inbäddad Ram (FSE), XULRunner, och andra.
Inbäddade webbläsare ramar missbrukas för MitM nätfiske
Under det senaste året, cyber-brottslingar har använt dessa verktyg som en del av man-in-the-middle (MitM) attacker.
Skurkar som lyckas placera sig i en position för att fånga användarens web-trafik för Googles inloggningssida kommer ofta att använda en inbäddad webbläsare ram för att automatisera inloggningen drift.
Användaren går in på sina Google-inloggningsuppgifter på en phishing-sida, och då skurkar rörelsens sida använda en inbäddad webbläsare ram för att automatisera inloggningen drift på riktigt Google-server.
De använder sig av denna teknik för att kringgå två-faktor autentisering system och inbyggda webbläsaren ramar är oftast den del som interagerar med Googles servrar om det är cyber-kriminella räkning.
Google kan inte säga inbäddad webbläsare från riktiga användare
“Eftersom vi inte kan skilja mellan en legitim inloggning och en MITM-attack på dessa plattformar, vi kommer att blockeras inloggningar från inbyggda webbläsaren ramar som börjar i juni,” Skelker sagt.
Detta är bara Googles senaste säkerhetsuppdatering företaget har rullat ut för användaren är inloggad på systemet.
I oktober förra året, företaget förbjöd alla inloggningsförsök från webbläsare där JavaScript har inaktiverats. I juni 2016, Google förbjudit alla inloggningsförsök initieras från inbäddade webbläsare som WebView.
För utvecklare som nu kommer att slita ut inbyggda webbläsaren ramar som CEF från sina apps, Google rekommenderar att man använder webbläsaren-baserade OAuth-autentisering i stället –en lösning som inte är benägna att phishing-attacker.
“Bortsett från att vara säkra, det gör det också möjligt för användare att se den fullständiga URL: en för den sida där de går in i sina referenser, för att främja goda anti-phishing-metoder,” Skelker sagt. “Om du är en utvecklare med en app som kräver tillgång till data från Google-Kontot, övergå till att använda webbaserade OAuth-autentisering i dag.”
Mer cybersäkerhet täckning:
Skurkarna använder digger att stjäla Uttagsautomater i Norra IrelandMobile app som används i Car2go bedrägeri system att stjäla 100 vehiclesEU Inga bevis för Kaspersky spioneri trots de “bekräftas skadlig’ classificationSource code of Iranian cyber-spionage verktyg som läckt ut på TelegramCyber-säkerhetsföretaget Verint drabbats av ransomwareMozilla vill Apple att ändra användarnas iPhone annonsör-ID varje månad
Sårbarheter som upptäckts i industriell utrustning ökade med 30% 2018 TechRepublicAmazon arbetstagare avlyssna dina samtal med Alexa CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter