Отключите WebUSB и WebBluetooth в Google Chrome

Отключите WebUSB и WebBluetooth в Google Chrome

Браузеры поддерживают все большее количество функций. Недавние дополнения к Google Chrome — WebUSB и API WebBluetooth — позволяют сайтам взаимодействовать с устройствами, подключенными к гаджету, на котором запущен браузер. Хотя, безусловно, это может быть полезным, но всё же внедрение новых функций может повлечь за собой непредвиденные последствия. В случае с WebUSB и WebBluetooth это открывает двери для сложных фишинговых атак, которые могут обойти аппаратные двухфакторные средства аутентификации.

Исследователи в области безопасности недавно продемонстрировали, что функциональность WebUSB браузера Google Chrome может использоваться для прямого взаимодействия с устройствами двухфакторной аутентификации, а не с API (U2F) Google Chrome, предназначенным для этой цели.

Атака обходит все средства защиты, предлагаемые устройствами двухфакторной аутентификации. Устройства должны поддерживать протоколы для подключения к браузеру, отличному от U2F, чтобы атака заработала, а пользователи должны взаимодействовать с фишинговым сайтом для успешного проведения атаки.

При попытке сайта использовать WebUSB или WebBluetooth на экране отображается запрос Chrome. Пользователь должен разрешить запрос, а также ввести имя пользователя и пароль учетной записи в соответствующие формы на сайте.

Хотя это создает барьер, который требует взаимодействия с пользователем, но все же подчеркивается, что новые функции могут открывать новые возможности для злоупотреблений.

Пользователям необходимо обращать внимание на диалоги разрешений, которые отображаются в браузере. Сайты атак могут быть разработаны таким образом, чтобы дать пользователям уверенность в том, что такие подсказки необходимы для работы.

Два расширения с открытым исходным кодом Disable WebUSB и Disable WebBluetooth решают проблему безопасности напрямую — они блокируют API в браузере. Должно быть ясно, что эти плагины блокируют любое взаимодействие с API, в них не проводится различия между хорошими и плохими запросами.

Если вы никогда не используете WebUSB или WebBluetooth, то, возможно, вы захотите установить эти расширения для дополнительной защиты. Они работают в фоновом режиме и блокируют любые попытки использования WebUSB или WebBluetooth API.

Отключите WebUSB и WebBluetooth в Google Chrome 1

Disable WebUSB

Disable WebBluetooth

Отключите WebUSB и WebBluetooth в Google Chrome 1

Спасибо, что читаете! На данный момент большинство моих заметок, статей и подборок выходит в telegram канале «Левашов». Обязательно подписывайтесь, чтобы не пропустить новости мира ИТ, полезные инструкции и нужные сервисы.


Респект за пост! Спасибо за работу!

Хотите больше постов в блоге? Подборок софта и сервисов, а также обзоры на гаджеты? Сейчас, чтобы писать регулярно и радовать вас большими обзорами, мне требуется помощь. Чтобы поддерживать сайт на регулярной основе, вы можете оформить подписку на российском сервисе Boosty. Или воспользоваться ЮMoney (бывшие Яндекс Деньги) для разовой поддержки:


Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

Подписаться
Уведомление о
guest
0 комментариев
Inline Feedbacks
View all comments
0
Прочитали? Прокомментируйте!x
Яндекс.Метрика