Mit WebUSB in Chrome können Websites eine direkte Verbindung zu USB-Geräten herstellen. Forscher entdeckten, dass es für Phishing-Angriffe genutzt werden könnte, weshalb Google es deaktivierte.
Phishing ist ein großes Problem, wenn Sie einen Großteil Ihres Lebens im Internet verbringen. Es gibt viele Möglichkeiten, sich mit Software vor Phishing-Angriffen zu schützen, aber eine der besten Methoden sind Hardware-USB-Sticks. Ein Authentifizierungsgerät kann Sie schützen, selbst wenn der Angreifer Ihren Benutzernamen und Ihr Passwort hat. Zumindest werden sie dir das sagen. Ein Forscherpaar hat bewiesen, dass diese Geräte nicht unbesiegbar sind. Ein Feature in Chrom namens WebUSB ermöglichte es, die Schutzmaßnahmen zu umgehen.
WebUSB ist eine Funktion, die es Websites ermöglicht, eine direkte Verbindung zu USB-Geräten herzustellen. es wurde in Chrome 61 hinzugefügt. Angreifer können die Funktion mit einer begleitenden Website nutzen, um jemanden dazu zu verleiten, seinen Benutzernamen und sein Passwort einzugeben und diese direkt an das Authentifizierungsgerät zu senden, um das Konto zu entsperren. Da Chrome der beliebteste Browser der Welt ist, handelt es sich offensichtlich um eine ziemlich ernste Sicherheitslücke.
Auf Nachfrage sagte der Sicherheitsproduktmanager von Google, man sei sich der Situation bewusst. Sie halten diese Art von Angriff für einen Randfall, arbeiten aber an der Behebung des Problems. Google hat die WebUSB-Funktion vorerst vollständig deaktiviert. Dies wurde erst gestern in Chromium entdeckt. Benutzer können ein Befehlszeilen-Flag anwenden, wenn sie die Funktion wirklich wieder aktivieren möchten. Das Problem konnte vorerst durch die Entfernung der beweglichen Teile gelöst werden.
Quelle: WiredQuelle: Chrom