WebUSB w przeglądarce Chrome umożliwia stronom internetowym bezpośrednie łączenie się z urządzeniami USB. Badacze odkryli, że można go wykorzystać do ataków phishingowych, więc Google go wyłączył.
Phishing jest poważnym problemem, jeśli większość życia spędzasz w Internecie. Istnieje wiele sposobów ochrony przed atakami phishingowymi za pomocą oprogramowania, ale jedną z najlepszych metod są sprzętowe klucze USB. Urządzenie uwierzytelniające może Cię chronić, nawet jeśli osoba atakująca zna Twoją nazwę użytkownika i hasło. Przynajmniej tak ci powiedzą. Para badaczy udowodniła, że urządzenia te nie są niepokonane. Funkcja w Chrom o nazwie WebUSB umożliwił ominięcie zabezpieczeń.
WebUSB to funkcja umożliwiająca stronom internetowym bezpośrednie łączenie się z urządzeniami USB; został dodany w Chrome 61. Atakujący mogą skorzystać z tej funkcji w powiązanej witrynie internetowej, aby przekonać kogoś do wpisania swojej nazwy użytkownika i hasła oraz przesłania ich bezpośrednio do urządzenia uwierzytelniającego w celu odblokowania konta. Oczywiście, dla której Chrome jest najpopularniejszą przeglądarką na świecie, jest to dość poważna luka.
Zapytany o to menedżer produktu bezpieczeństwa Google powiedział, że jest świadomy tej sytuacji. Uważają, że ten typ ataku jest przypadkiem skrajnym, ale pracują nad rozwiązaniem problemu. Na razie Google całkowicie wyłączył funkcję WebUSB. Odkryto to w Chromium zaledwie wczoraj. Użytkownicy mogą zastosować flagę wiersza poleceń, jeśli naprawdę chcą ponownie włączyć tę funkcję. Na razie problem został rozwiązany poprzez usunięcie ruchomych części.
Źródło: Wiredźródło: chrom