Chromen WebUSB mahdollistaa verkkosivustojen yhteyden suoraan USB-laitteisiin. Tutkijat havaitsivat, että sitä voitiin käyttää tietojenkalasteluhyökkäyksiin, joten Google poisti sen käytöstä.
Tietojenkalastelu on suuri huolenaihe, jos elät suuren osan elämästäsi Internetissä. On monia tapoja suojautua tietojenkalasteluhyökkäyksiä vastaan ohjelmiston avulla, mutta yksi parhaista tavoista on laitteiston USB-avaimet. Todennuslaite voi suojata sinua, vaikka hyökkääjällä olisi käyttäjätunnuksesi ja salasanasi. Ainakin niin he kertovat sinulle. Pari tutkijaa osoitti, että nämä laitteet eivät ole voittamattomia. Ominaisuus sisään Kromi nimeltä WebUSB mahdollisti suojausten ohituksen.
WebUSB on ominaisuus, jonka avulla verkkosivustot voivat muodostaa yhteyden suoraan USB-laitteisiin; se lisättiin Chrome 61:een. Hyökkääjät voivat käyttää ominaisuutta mukana tulevan verkkosivuston kanssa vakuuttaakseen jonkun kirjoittamaan käyttäjätunnuksensa ja salasanansa ja lähettämään ne suoraan todennuslaitteeseen tilin lukituksen avaamiseksi. On selvää, että mikä Chrome on planeetan suosituin selain, tämä on melko vakava haavoittuvuus.
Kysyttäessä Googlen tietoturvatuotepäällikkö sanoi olevansa tietoinen tilanteesta. He pitävät tämäntyyppistä hyökkäystä reunatapauksena, mutta he työskentelevät korjatakseen ongelman. Google on toistaiseksi poistanut WebUSB-ominaisuuden kokonaan käytöstä. Tämä löydettiin Chromiumista eilen. Käyttäjät voivat käyttää komentorivin lippua, jos he todella haluavat ottaa ominaisuuden uudelleen käyttöön. Toistaiseksi ongelma on ratkaistu poistamalla liikkuvat osat.
Lähde: WiredLähde: Chromium