WebUSB v prohlížeči Chrome umožňuje webovým stránkám přímé připojení k zařízením USB. Výzkumníci zjistili, že by mohl být použit pro phishingové útoky, a tak jej Google zakázal.
Phishing je velkým problémem, pokud žijete většinu svého života na internetu. Existuje spousta způsobů, jak se chránit před phishingovými útoky pomocí softwaru, ale jednou z nejlepších metod jsou hardwarové USB klíče. Ověřovací zařízení vás může ochránit, i když má útočník vaše uživatelské jméno a heslo. Alespoň vám to tak řeknou. Dvojice výzkumníků dokázala, že tato zařízení nejsou neporazitelná. Funkce v Chrome nazvané WebUSB umožnilo obejít ochrany.
WebUSB je funkce, která umožňuje webovým stránkám přímé připojení k zařízením USB; bylo přidáno v Chrome 61. Útočníci mohou pomocí této funkce s doprovodnou webovou stránkou přesvědčit někoho, aby zadal své uživatelské jméno a heslo a poslal je přímo do ověřovacího zařízení k odemknutí účtu. Je zřejmé, že Chrome je nejoblíbenějším prohlížečem na planetě, je to docela vážná chyba zabezpečení.
Když se na to produktový manažer společnosti Google zeptal, řekl, že si je situace vědom. Považují tento typ útoku za okrajový případ, ale pracují na odstranění problému. V současné době Google zcela deaktivoval funkci WebUSB. To bylo objeveno v Chromiu právě včera. Uživatelé mohou použít příznak příkazového řádku, pokud opravdu chtějí funkci znovu povolit. Prozatím byl problém vyřešen odstraněním pohyblivých částí.
Zdroj: WiredZdroj: Chromium