WebUSB in Chrome consente ai siti Web di connettersi direttamente ai dispositivi USB. I ricercatori hanno scoperto che poteva essere utilizzato per attacchi di phishing, quindi Google lo ha disabilitato.
Il phishing è una delle maggiori preoccupazioni se trascorri gran parte della tua vita su Internet. Esistono molti modi per proteggersi dagli attacchi di phishing tramite software, ma uno dei metodi migliori sono le chiavi USB hardware. Un dispositivo di autenticazione può proteggerti anche se l'aggressore conosce il tuo nome utente e la tua password. Almeno questo è quello che ti diranno. Una coppia di ricercatori ha dimostrato che questi dispositivi non sono invincibili. Una caratteristica in Cromo chiamato WebUSB ha permesso di aggirare le protezioni.
WebUSB è una funzionalità che consente ai siti Web di connettersi direttamente ai dispositivi USB; è stato aggiunto in Chrome 61. Gli aggressori possono utilizzare la funzionalità con un sito Web di accompagnamento per convincere qualcuno a digitare il nome utente e la password e inviarli direttamente al dispositivo di autenticazione per sbloccare l'account. Ovviamente, essendo Chrome il browser più popolare del pianeta, questa è una vulnerabilità piuttosto seria.
Interrogato in merito, il responsabile del prodotto sicurezza di Google ha affermato di essere a conoscenza della situazione. Considerano questo tipo di attacco un caso limite, ma stanno lavorando per risolvere il problema. Per il momento Google ha disabilitato completamente la funzione WebUSB. Questo è stato scoperto in Chromium proprio ieri. Gli utenti possono applicare un flag della riga di comando se desiderano davvero riattivare la funzionalità. Per ora il problema è stato risolto rimuovendo le parti mobili.
Fonte: WiredFonte: cromo