WebUSB i Chrome lar nettsteder koble direkte til USB-enheter. Forskere oppdaget at det kunne brukes til phishing-angrep, så Google deaktiverte det.
Phishing er en stor bekymring hvis du lever mye av livet ditt på internett. Det er mange måter å beskytte mot phishing-angrep med programvare, men en av de beste metodene er USB-nøkler for maskinvare. En autentiseringsenhet kan beskytte deg selv om angriperen har ditt brukernavn og passord. Det er i hvert fall det de vil fortelle deg. Et par forskere beviste at disse enhetene ikke er uovervinnelige. En funksjon i Chrome kalt WebUSB gjorde det mulig å omgå beskyttelsene.
WebUSB er en funksjon som lar nettsteder koble direkte til USB-enheter; den ble lagt til i Chrome 61. Angripere kan bruke funksjonen med et tilhørende nettsted for å overbevise noen om å skrive inn brukernavn og passord og sende det direkte til autentiseringsenheten for å låse opp kontoen. Åpenbart, som Chrome er den mest populære nettleseren på planeten, er dette en ganske alvorlig sårbarhet.
På spørsmål om det, sa Googles sikkerhetsproduktsjef at de er klar over situasjonen. De anser denne typen angrep som en kantsak, men de jobber med å fikse problemet. Foreløpig har Google deaktivert WebUSB-funksjonen helt. Dette ble oppdaget i Chromium i går. Brukere kan bruke et kommandolinjeflagg hvis de virkelig ønsker å aktivere funksjonen på nytt. Foreløpig er problemet løst ved å fjerne de bevegelige delene.
Kilde: WiredKilde: Chromium