WebUSB en Chrome permite que los sitios web se conecten directamente a dispositivos USB. Los investigadores descubrieron que podría usarse para ataques de phishing, por lo que Google lo desactivó.
El phishing es una preocupación importante si vives gran parte de tu vida en Internet. Hay muchas formas de protegerse contra ataques de phishing con software, pero uno de los mejores métodos son las memorias USB de hardware. Un dispositivo de autenticación puede protegerlo incluso si el atacante tiene su nombre de usuario y contraseña. Al menos eso es lo que te dirán. Un par de investigadores han demostrado que estos dispositivos no son invencibles. Una característica en Cromo llamado WebUSB hizo posible eludir las protecciones.
WebUSB es una función que permite que los sitios web se conecten directamente a dispositivos USB; fue agregado en Chrome 61. Los atacantes pueden utilizar la función junto con un sitio web adjunto para convencer a alguien de que escriba su nombre de usuario y contraseña y los envíe directamente al dispositivo de autenticación para desbloquear la cuenta. Obviamente, siendo Chrome el navegador más popular del planeta, se trata de una vulnerabilidad bastante grave.
Cuando se le preguntó al respecto, el gerente de productos de seguridad de Google dijo que están al tanto de la situación. Consideran que este tipo de ataque es un caso límite, pero están trabajando para solucionar el problema. Por el momento, Google ha desactivado por completo la función WebUSB. Esto fue descubierto en Chromium ayer mismo. Los usuarios pueden aplicar una marca de línea de comando si realmente desean volver a habilitar la función. Por ahora el problema se ha solucionado retirando las piezas móviles.
Fuente: CableadoFuente: Cromo