WebUSB в Chrome позволява на уебсайтовете да се свързват директно с USB устройства. Изследователите откриха, че може да се използва за фишинг атаки, така че Google го деактивира.
Фишингът е основен проблем, ако живеете голяма част от живота си в интернет. Има много начини за защита срещу фишинг атаки със софтуер, но един от най-добрите методи са хардуерните USB ключове. Устройството за удостоверяване може да ви защити, дори ако нападателят има вашето потребителско име и парола. Поне това ще ви кажат. Двама изследователи доказаха, че тези устройства не са непобедими. Функция в Chrome наречен WebUSB направи възможно заобикалянето на защитите.
WebUSB е функция, която позволява на уебсайтовете да се свързват директно с USB устройства; беше добавен в Chrome 61. Нападателите могат да използват функцията с придружаващ уебсайт, за да убедят някого да въведе своето потребителско име и парола и да ги изпрати директно на устройството за удостоверяване, за да отключи акаунта. Очевидно Chrome е най-популярният браузър на планетата и това е доста сериозна уязвимост.
Попитан за това, продуктовият мениджър за сигурност на Google каза, че са запознати със ситуацията. Те смятат този тип атака за ръбов случай, но работят за отстраняване на проблема. За момента Google е деактивирал напълно функцията WebUSB. Това беше открито в Chromium точно вчера. Потребителите могат да прилагат флаг на командния ред, ако наистина искат да активират отново функцията. Засега проблемът е решен с премахване на движещите се части.
Източник: WiredИзточник: Chromium