Фишинг представляет собой серьезную проблему, если вы проводите большую часть своей жизни в Интернете. Существует множество способов защиты от фишинговых атак с помощью программного обеспечения, но одним из лучших методов является аппаратный USB-ключ. Устройство аутентификации может защитить вас, даже если у злоумышленника есть ваше имя пользователя и пароль. Но исследователи доказали, что эти устройства не являются эталоном безопасности. Функция в Chrome, называемая WebUSB, позволила обойти защиту.
WebUSB - это функция, которая позволяет веб-сайтам напрямую подключаться к USB-устройствам; он был добавлен в Chrome 61. Атакующие могут использовать эту функцию в связке с каким-либо сайтом, чтобы убедить кого-то ввести свое имя пользователя и пароль, затем отправить его прямо на устройство аутентификации и разблокировать учетную запись. Очевидно, что Chrome является самым популярным браузером на планете и это довольно серьезная уязвимость.
Отвечая на вопрос об этом, менеджер по продуктам безопасности Google сказал, что они знают о ситуации. Они считают, что этот тип атаки является крайним случаем, но они работают над устранением проблемы. В настоящее время Google полностью отключил функцию WebUSB. Это было обнаружено недавно в Chromium. Пользователи могут применять флаг командной строки, если они хотят снова включить эту функцию. На данный момент проблема решена путем удаления некоторых частей.