WebUSB i Chrome giver websteder mulighed for at oprette direkte forbindelse til USB-enheder. Forskere opdagede, at det kunne bruges til phishing-angreb, så Google deaktiverede det.
Phishing er et stort problem, hvis du lever meget af dit liv på internettet. Der er masser af måder at beskytte mod phishing-angreb med software, men en af de bedste metoder er hardware-USB-nøgler. En godkendelsesenhed kan beskytte dig, selvom angriberen har dit brugernavn og din adgangskode. Det vil de i hvert fald fortælle dig. Et par forskere beviste, at disse enheder ikke er uovervindelige. Et indslag i Chrome kaldet WebUSB gjorde det muligt at omgå beskyttelserne.
WebUSB er en funktion, der gør det muligt for websteder at oprette direkte forbindelse til USB-enheder; det blev tilføjet i Chrome 61. Angribere kan bruge funktionen med et tilhørende websted til at overbevise nogen om at indtaste deres brugernavn og adgangskode og sende det direkte til godkendelsesenheden for at låse kontoen op. Det er klart, at Chrome er den mest populære browser på planeten, dette er en ret alvorlig sårbarhed.
Da Googles sikkerhedsproduktchef blev spurgt om det, sagde de, at de er opmærksomme på situationen. De betragter denne type angreb for at være en fordel, men de arbejder på at løse problemet. For øjeblikket har Google deaktiveret WebUSB-funktionen helt. Dette blev opdaget i Chromium i går. Brugere kan anvende et kommandolinjeflag, hvis de virkelig ønsker at genaktivere funktionen. For nu er problemet løst ved at fjerne de bevægelige dele.
Kilde: WiredKilde: Chromium