WebUSB no Chrome permite que sites se conectem diretamente a dispositivos USB. Os pesquisadores descobriram que ele poderia ser usado para ataques de phishing, então o Google o desativou.
O phishing é uma grande preocupação se você passa grande parte da sua vida na Internet. Existem muitas maneiras de se proteger contra ataques de phishing com software, mas um dos melhores métodos são as chaves USB de hardware. Um dispositivo de autenticação pode protegê-lo mesmo que o invasor tenha seu nome de usuário e senha. Pelo menos é isso que eles vão te dizer. Dois pesquisadores provaram que esses dispositivos não são invencíveis. Uma característica em cromada chamado WebUSB possibilitou contornar as proteções.
WebUSB é um recurso que permite que sites se conectem diretamente a dispositivos USB; foi adicionado no Chrome 61. Os invasores podem usar o recurso com um site para convencer alguém a digitar seu nome de usuário e senha e enviá-los diretamente ao dispositivo de autenticação para desbloquear a conta. Obviamente, sendo o Chrome o navegador mais popular do planeta, esta é uma vulnerabilidade bastante séria.
Quando questionado sobre isso, o gerente de produtos de segurança do Google disse estar ciente da situação. Eles consideram esse tipo de ataque um caso extremo, mas estão trabalhando para resolver o problema. Por enquanto, o Google desativou totalmente o recurso WebUSB. Isso foi descoberto no Chromium ontem. Os usuários podem aplicar um sinalizador de linha de comando se realmente quiserem reativar o recurso. Por enquanto, o problema foi resolvido com a remoção das peças móveis.
Fonte: Com fioFonte: Cromo