Отключите WebUSB и WebBluetooth в Google Chrome

Браузеры поддерживают все большее количество функций. Недавние дополнения к Google Chrome — WebUSB и API WebBluetooth — позволяют сайтам взаимодействовать с устройствами, подключенными к гаджету, на котором запущен браузер. Хотя, безусловно, это может быть полезным, но всё же внедрение новых функций может повлечь за собой непредвиденные последствия. В случае с WebUSB и WebBluetooth это открывает двери для сложных фишинговых атак, которые могут обойти аппаратные двухфакторные средства аутентификации.

       

Исследователи в области безопасности недавно продемонстрировали, что функциональность WebUSB браузера Google Chrome может использоваться для прямого взаимодействия с устройствами двухфакторной аутентификации, а не с API (U2F) Google Chrome, предназначенным для этой цели.

Атака обходит все средства защиты, предлагаемые устройствами двухфакторной аутентификации. Устройства должны поддерживать протоколы для подключения к браузеру, отличному от U2F, чтобы атака заработала, а пользователи должны взаимодействовать с фишинговым сайтом для успешного проведения атаки.

При попытке сайта использовать WebUSB или WebBluetooth на экране отображается запрос Chrome. Пользователь должен разрешить запрос, а также ввести имя пользователя и пароль учетной записи в соответствующие формы на сайте.

Хотя это создает барьер, который требует взаимодействия с пользователем, но все же подчеркивается, что новые функции могут открывать новые возможности для злоупотреблений.

Пользователям необходимо обращать внимание на диалоги разрешений, которые отображаются в браузере. Сайты атак могут быть разработаны таким образом, чтобы дать пользователям уверенность в том, что такие подсказки необходимы для работы.

Два расширения с открытым исходным кодом Disable WebUSB и Disable WebBluetooth решают проблему безопасности напрямую — они блокируют API в браузере. Должно быть ясно, что эти плагины блокируют любое взаимодействие с API, в них не проводится различия между хорошими и плохими запросами.

Если вы никогда не используете WebUSB или WebBluetooth, то, возможно, вы захотите установить эти расширения для дополнительной защиты. Они работают в фоновом режиме и блокируют любые попытки использования WebUSB или WebBluetooth API.

Disable WebUSB

Disable WebBluetooth






Спасибо, что читаете! Подписывайтесь на мой канал в Telegram и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.

Также, читайте меня в социальных сетях: Facebook, Twitter, VKOK.

Мне нужна ваша помощь


Для своевременного наполнения сайта, его продвижения, развития, а также, конечно, оплаты хостинга мне необходима помощь от вас, читатели. Подробнее о донатах читайте на специальной странице. На данный момент есть возможность поддержать меня через Яндекс Деньги, WebMoney и PayPal.

Все собранные средства будут пущены на развитие сайта и редкое пиво для автора!