Η Google αποφάσισε να προχωρήσει σε απαγόρευση των logins από «embedded browsers», από τον Ιούνιο του 2019. Γιατί όμως πήρε αυτή την απόφαση η εταιρεία; Για λόγους ασφαλείας. Συγκεκριμένα, για να μειώσει τις πιθανότητες πραγματοποίησης man-in-the-middle επιθέσεων, οι οποίες είναι αυξημένες τον τελευταίο καιρό.
Όταν κάποιος συνδέεται σε εφαρμογές μέσω ενός «embedded browser», έχει περισσότερες πιθανότητες να πέσει θύμα man-in-the-middle επίθεσης. Για παράδειγμα το Chromium embedded framework ή αλλιώς CEF, είναι ένας τέτοιος browser και χρησιμοποιείται από πολλούς ανθρώπους για να συνδεθούν στο Steam client, το Evernote και το Amazon music.
Δυστυχώς, ο εντοπισμός μιας MITM επίθεσης, όταν οι χρήστες συνδέονται μέσω embedded browser, δεν είναι δυνατός.
Γι’ αυτό το λόγο, η Google αποφάσισε να απαγορεύσει εντελώς τις συνδέσεις που γίνονται από τέτοιο browser. Μάλιστα, θα προσθέσει τον έλεγχο ταυτότητας OAuth. Κάθε φορά που οι χρήστες θέλουν να συνδεθούν κάπου, θα μεταφέρονται σε έναν άλλο browser, όπως είναι ο Safari, ο Chrome και άλλοι.
Με αυτή τη διαδικασία η Google θα είναι σίγουρη ότι δεν υπάρχει κίνδυνος επίθεσης. Επίσης, ο χρήστης θα μπορεί να έχει περισσότερες πληροφορίες, καθώς θα αποκαλύπτεται ολόκληρο το URL της login σελίδας.
Στον έλεγχο ταυτότητας OAuth, συμμετέχουν τρία μέρη. Το πρώτο μέρος είναι το OAuth Client, δηλαδή η εφαρμογή στην οποία θέλετε να συνδεθείτε. Το δεύτερο μέρος είναι ο πάροχος OAuth, π.χ. το Facebook, το Twitter, το Instagram. Τέλος, το τρίτο μέρος είναι ο ίδιος ο κάτοχος.
Αυτό το σύστημα ελέγχου επιτρέπει στα OAuth clients να αποκτήσουν πρόσβαση στα δεδομένα των χρηστών με ασφάλεια, χωρίς να υπάρχει κίνδυνος διαρροής των κωδικών πρόσβασης.
Δεδομένου ότι πολλοί άνθρωποι δεν χρησιμοποιούν τον έλεγχο ταυτότητας δύο παραγόντων, η Google πρότεινε αυτή τη μέθοδο για να υπάρχει μεγαλύτερη ασφάλεια και προστασία.
Η Google έπρεπε να δράσει, καθώς οι man-in-the-middle επιθέσεις έχουν αυξηθεί. Η εταιρεία εδώ και καιρό προσπαθεί να τις αντιμετωπίσει. Πρόσφατα, έκανε μια ενημέρωση στο Gmail, προσθέτοντας το MTA-STS standard. Με αυτή την ενημέρωση οι hackers δεν μπορούν να αποκτούν πρόσβαση σε emails που στέλνονται από και προς το Gmail.
Οι man-in-the-middle επιθέσεις μπορούν να προκαλέσουν πολλά προβλήματα. Ένας hacker μπορεί να κλέψει credentials, που είναι το πιο συνηθισμένο, αλλά και να εγκαταστήσει κακόβουλα προγράμματα και παράνομα πιστοποιητικά στους υπολογιστές των θυμάτων.
Η εγκατάσταση ψεύτικων πιστοποιητικών γίνεται με σκοπό να «εξαπατηθεί» το anti-virus και να επιτρέψει την εγκατάσταση κακόβουλου προγράμματος, θεωρώντας το αβλαβές.
Όπως και να έχει, είτε ο κίνδυνος μιας επίθεσης είναι μεγάλος, είτε είναι μικρός, όλοι πρέπει να λαμβάνουν όσο το δυνατόν περισσότερα μέτρα, για να είναι ασφαλείς στο διαδίκτυο.
