WebUSB в Chrome позволяет веб-сайтам напрямую подключаться к USB-устройствам. Исследователи обнаружили, что его можно использовать для фишинговых атак, поэтому Google отключил его.
Фишинг является серьезной проблемой, если вы проводите большую часть своей жизни в Интернете. Существует множество способов защиты от фишинговых атак с помощью программного обеспечения, но одним из лучших методов являются аппаратные USB-ключи. Устройство аутентификации может защитить вас, даже если злоумышленник знает ваше имя пользователя и пароль. По крайней мере, они вам так скажут. Пара исследователей доказала, что эти устройства не являются непобедимыми. Функция в Хром под названием WebUSB позволял обойти защиту.
WebUSB — это функция, позволяющая веб-сайтам напрямую подключаться к USB-устройствам; он был добавлен в Chrome 61. Злоумышленники могут использовать эту функцию с сопутствующим веб-сайтом, чтобы убедить кого-либо ввести свое имя пользователя и пароль и отправить их непосредственно на устройство аутентификации, чтобы разблокировать учетную запись. Очевидно, что Chrome, являющийся самым популярным браузером на планете, представляет собой довольно серьезную уязвимость.
Когда его спросили об этом, менеджер по продуктам безопасности Google ответил, что им известно о ситуации. Они считают этот тип атаки крайним случаем, но работают над решением проблемы. На данный момент Google полностью отключил функцию WebUSB. Это было обнаружено в Chromium буквально вчера. Пользователи могут применить флаг командной строки, если они действительно хотят повторно включить эту функцию. На данный момент проблема решена путем снятия движущихся частей.
Источник: ПроводнойИсточник: Хром