WebUSB i Chrome låter webbplatser ansluta direkt till USB-enheter. Forskare upptäckte att det kunde användas för nätfiskeattacker, så Google inaktiverade det.
Nätfiske är ett stort problem om du lever en stor del av ditt liv på internet. Det finns många sätt att skydda mot nätfiskeattacker med programvara, men en av de bästa metoderna är hårdvaru-USB-nycklar. En autentiseringsenhet kan skydda dig även om angriparen har ditt användarnamn och lösenord. Det är åtminstone vad de kommer att berätta för dig. Ett par forskare bevisade att dessa enheter inte är oövervinnerliga. Ett inslag i Krom kallad WebUSB gjorde det möjligt att kringgå skydden.
WebUSB är en funktion som gör att webbplatser kan ansluta direkt till USB-enheter; den lades till i Chrome 61. Angripare kan använda funktionen med en medföljande webbplats för att övertyga någon att skriva in sitt användarnamn och lösenord och skicka det direkt till autentiseringsenheten för att låsa upp kontot. Uppenbarligen, vilken Chrome är den mest populära webbläsaren på planeten, är detta en ganska allvarlig sårbarhet.
På frågan om det sa Googles säkerhetsproduktchef att de är medvetna om situationen. De anser att den här typen av attacker är ett kantfall, men de arbetar med att åtgärda problemet. För närvarande har Google inaktiverat WebUSB-funktionen helt. Detta upptäcktes i Chromium igår. Användare kan använda en kommandoradsflagga om de verkligen vill återaktivera funktionen. Tills vidare har problemet lösts genom att de rörliga delarna tagits bort.
Källa: WiredKälla: Chromium