WebUSB у Chrome дозволяє веб-сайтам напряму підключатися до пристроїв USB. Дослідники виявили, що його можна використовувати для фішингових атак, тому Google вимкнув його.
Фішинг викликає серйозне занепокоєння, якщо ви живете більшу частину свого життя в Інтернеті. Існує багато способів захисту від фішингових атак за допомогою програмного забезпечення, але один із найкращих методів — апаратні USB-ключі. Пристрій автентифікації може захистити вас, навіть якщо зловмисник має ваше ім’я користувача та пароль. Принаймні так вам скажуть. Пара дослідників довела, що ці пристрої не є непереможними. Особливість в Chrome під назвою WebUSB дозволив обійти захист.
WebUSB — це функція, яка дозволяє веб-сайтам напряму підключатися до пристроїв USB; його було додано в Chrome 61. Зловмисники можуть використовувати цю функцію разом із супутнім веб-сайтом, щоб переконати когось ввести своє ім’я користувача та пароль і надіслати їх безпосередньо на пристрій автентифікації для розблокування облікового запису. Очевидно, що Chrome, який є найпопулярнішим браузером на планеті, є досить серйозною вразливістю.
Коли його запитали про це, менеджер із продуктів безпеки Google сказав, що вони знають про ситуацію. Вони вважають цей тип атаки крайнім випадком, але працюють над вирішенням проблеми. На даний момент Google повністю відключив функцію WebUSB. Буквально вчора це було виявлено в Chromium. Користувачі можуть застосувати позначку командного рядка, якщо вони справді хочуть повторно ввімкнути функцію. На даний момент проблему вдалося вирішити шляхом видалення рухомих частин.
Джерело: WiredДжерело: Chromium