Отключите WebUSB и WebBluetooth в Google Chrome

Отключите WebUSB и WebBluetooth в Google Chrome

Браузеры поддерживают все большее количество функций. Недавние дополнения к Google Chrome — WebUSB и API WebBluetooth — позволяют сайтам взаимодействовать с устройствами, подключенными к гаджету, на котором запущен браузер. Хотя, безусловно, это может быть полезным, но всё же внедрение новых функций может повлечь за собой непредвиденные последствия. В случае с WebUSB и WebBluetooth это открывает двери для сложных фишинговых атак, которые могут обойти аппаратные двухфакторные средства аутентификации.

Исследователи в области безопасности недавно продемонстрировали, что функциональность WebUSB браузера Google Chrome может использоваться для прямого взаимодействия с устройствами двухфакторной аутентификации, а не с API (U2F) Google Chrome, предназначенным для этой цели.

Атака обходит все средства защиты, предлагаемые устройствами двухфакторной аутентификации. Устройства должны поддерживать протоколы для подключения к браузеру, отличному от U2F, чтобы атака заработала, а пользователи должны взаимодействовать с фишинговым сайтом для успешного проведения атаки.

При попытке сайта использовать WebUSB или WebBluetooth на экране отображается запрос Chrome. Пользователь должен разрешить запрос, а также ввести имя пользователя и пароль учетной записи в соответствующие формы на сайте.

Хотя это создает барьер, который требует взаимодействия с пользователем, но все же подчеркивается, что новые функции могут открывать новые возможности для злоупотреблений.

Пользователям необходимо обращать внимание на диалоги разрешений, которые отображаются в браузере. Сайты атак могут быть разработаны таким образом, чтобы дать пользователям уверенность в том, что такие подсказки необходимы для работы.

Два расширения с открытым исходным кодом Disable WebUSB и Disable WebBluetooth решают проблему безопасности напрямую — они блокируют API в браузере. Должно быть ясно, что эти плагины блокируют любое взаимодействие с API, в них не проводится различия между хорошими и плохими запросами.

Если вы никогда не используете WebUSB или WebBluetooth, то, возможно, вы захотите установить эти расширения для дополнительной защиты. Они работают в фоновом режиме и блокируют любые попытки использования WebUSB или WebBluetooth API.

Disable WebUSB

Disable WebBluetooth


Спасибо, что читаете! Подписывайтесь на мой канал в Telegram и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий. Также, читайте меня в социальных сетях: Facebook, Twitter, VKOK.

Респект за пост! Спасибо за работу!

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

На данный момент есть возможность стать патроном, чтобы ежемесячно поддерживать блог донатом, или воспользоваться Яндекс.Деньгами, WebMoney, QIWI и PayPal:

Спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.