Met WebUSB in Chrome kunnen websites rechtstreeks verbinding maken met USB-apparaten. Onderzoekers ontdekten dat het gebruikt kon worden voor phishing-aanvallen, dus Google schakelde het uit.
Phishing is een groot probleem als u een groot deel van uw leven op internet doorbrengt. Er zijn tal van manieren om je met software te beschermen tegen phishing-aanvallen, maar een van de beste methoden zijn hardware-USB-sleutels. Een authenticatieapparaat kan u beschermen, zelfs als de aanvaller uw gebruikersnaam en wachtwoord heeft. Dat is tenminste wat ze je zullen vertellen. Een paar onderzoekers hebben bewezen dat deze apparaten niet onoverwinnelijk zijn. Een functie in Chroom genaamd WebUSB maakte het mogelijk om de beveiligingen te omzeilen.
WebUSB is een functie waarmee websites rechtstreeks verbinding kunnen maken met USB-apparaten; het is toegevoegd in Chrome 61. Aanvallers kunnen de functie met een bijbehorende website gebruiken om iemand ervan te overtuigen zijn gebruikersnaam en wachtwoord in te voeren en deze rechtstreeks naar het authenticatieapparaat te sturen om het account te ontgrendelen. Omdat Chrome de populairste browser ter wereld is, is dit uiteraard een behoorlijk ernstige kwetsbaarheid.
Toen hem ernaar werd gevraagd, zei de beveiligingsproductmanager van Google dat hij op de hoogte was van de situatie. Ze beschouwen dit soort aanvallen als een randgeval, maar ze werken eraan om het probleem op te lossen. Voorlopig heeft Google de WebUSB-functie volledig uitgeschakeld. Dit werd gisteren ontdekt in Chromium. Gebruikers kunnen een opdrachtregelvlag toepassen als ze de functie echt opnieuw willen inschakelen. Voorlopig is het probleem opgelost door de bewegende delen te verwijderen.
Bron: BedraadBron: chroom