Προσοχή στις νέες λειτουργίες του Chrome WebUSB και WebBluetooth: Τα προγράμματα περιήγησης στο Web (browsers) χρησιμοποιούν όλο και πολλά API για περισσότερες λειτουργίες.
Αυτό όμως δεν είναι πάντα καλό.
Δύο πρόσφατες προσθήκες στον Chrome, με τα API WebUSB και WebBluetooth, επιτρέπουν στους ιστότοπους να αλληλεπιδρούν με τις συσκευές που είναι συνδεδεμένες στον υπολογιστή που τρέχει το πρόγραμμα περιήγησης.
Αυτό μπορεί να είναι πολύ χρήσιμο, αλλά μερικές φορές η προσθήκη νέων χαρακτηριστικών έχει απρόβλεπτες συνέπειες.
Τα API WebUSB και WebBluetooth, για παράδειγμα, αφήνουν κενά ασφαλείας που επιτρέπουν πολύ εξελιγμένες επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing). Οι επιθέσεις αυτές θα μπορούσαν να παρακάμψουν συσκευές ελέγχου ταυτότητας δύο παραγόντων που χρησιμοποιούν Θύρες USB, όπως την συσκευή Yubikey.
Ερευνητές ασφαλείας απέδειξαν πρόσφατα ότι η λειτουργικότητα WebUSB του προγράμματος περιήγησης Chrome μπορεί να χρησιμοποιηθεί και για την άμεση επικοινωνία με τις συσκευές επαλήθευσης ταυτότητας δύο παραγόντων και όχι μόνο για το API της Google U2F.
Η επίθεση παρακάμπτει κάθε προστασία που προσφέρουν οι συσκευές ταυτότητας δύο παραγόντων.
Ο Chrome εμφανίζει μια ερώτηση όταν συναντήσει μια σελίδα που προσπαθεί να χρησιμοποιήσει το API των WebUSB ή WebBluetooth. Ο χρήστης θα πρέπει να επιτρέψει το αίτημα σύνδεσης και να πληκτρολογήσει ή να επικολλήσει το όνομα χρήστη και τον κωδικό του λογαριασμού του στη σελίδα που θέλει να συνδεθεί.
Οι χρήστες θα πρέπει να δίνουν την απαραίτητη προσοχή στους διαλόγους που εμφανίζονται και ζητούν δικαιώματα. Οι ιστοσελίδες που έχουν σχεδιαστεί για επιθέσεις θα μπορούσαν να παρέχουν διαβεβαιώσεις και προτροπές ότι τα δικαιώματα που ζητούν είναι απαραίτητα για την καλύτερη λειτουργικότητα της εξωτερικής συσκευής.
Αν θέλετε λοιπόν να απενεργοποιήσετε τις δύο λειτουργίες από τον Chrome που χρησιμοποιείτε, θα πρέπει να εγκαταστήσετε τις επεκτάσεις Disable WebUSB και Disable WebBluetooth .
Τα δύο πρόσθετα αποκλείουν τα API στο πρόγραμμα περιήγησης.
Έτσι αν δεν χρησιμοποιείτε τις λειτουργίες WebUSB και WebBluetooth, οι παραπάνω επεκτάσεις είναι μια προσωρινή λύση μέχρι η Google να επιδιορθώσει τα θέματα ασφαλείας.
____________________________________
