Отключить WebUSB и WebBluetooth в Google Chrome

by Опубликовано

Веб-браузеры поддерживают все большее количество API-интерфейсов и функций, и, похоже, этому не будет конца.

Недавние дополнения к Google Chrome, API WebUSB и WebBluetooth, позволяют сайтам взаимодействовать с устройствами, подключенными к устройству, на котором запущен браузер.

Конечно, есть случаи, когда это может быть полезно, но иногда бывает так, что введение новых функций имеет непредвиденные последствия.

В случае с WebUSB и WebBluetooth он открывает двери для изощренных фишинговых атак, которые могут обойти аппаратные устройства двухфакторной аутентификации, такие как некоторые устройства Yubikey.

Исследователи безопасности продемонстрировали недавно что функциональность WebUSB веб-браузера Google Chrome может использоваться для непосредственного взаимодействия с устройствами двухфакторной аутентификации, а не API Google Chrome (U2F), предназначенным для этой цели.

Атака обходит любую защиту, которую предлагают устройства с двухфакторной аутентификацией, которые уязвимы. Устройства должны поддерживать протоколы для подключения к браузеру, отличные от U2F, чтобы атака работала, а пользователям необходимо взаимодействовать с фишинговым сайтом для успешного проведения атаки.

отключить webusb webbluetooth

Chrome отображает запрос, когда сайт пытается использовать WebUSB или WebBluetooth. Пользователь должен разрешить запрос и ввести или вставить имя пользователя и пароль учетной записи в специальные формы на сайте.

Хотя это создает барьер, который требует взаимодействия с пользователем, прежде чем его можно будет выполнить, он все же подчеркивает, что новые функции могут открыть новые возможности для злоупотреблений.

Пользователи должны обращать внимание на диалоговые окна разрешений, которые им отображает браузер. Сайты атак могут быть спроектированы таким образом, чтобы гарантировать пользователям уверенность в том, что такие запросы разрешений необходимы для работы. Хотя неясно, сколько пользователей попались бы на это, особенно тех, кто использует устройства двухфакторной аутентификации, почти наверняка некоторые из них.

Два расширения браузера с открытым исходным кодом Отключить WebUSB а также Отключить WebBluetooth решить проблему напрямую; они блокируют API-интерфейсы в браузере, чтобы ими нельзя было злоупотреблять. Должно быть ясно, что эти расширения будут блокировать любое взаимодействие с этими API; он не делает различий между хорошими и плохими запросами.

Если вы никогда не используете WebUSB или WebBluetooth, вы можете рассмотреть возможность установки расширений для дополнительной защиты. Расширения работают в фоновом режиме и блокируют любые попытки использовать API WebUSB или WebBluetooth.

Теперь ваша очередь : Вы отключаете определенные функции браузера?

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *