WebUSB и WebBluetooth в Google Chrome

Функции в браузере Chrome, WebUSB и WebBluetooth, могут открывать двери для сложных фишинговых атак, которые могут обойти аппаратные устройства двух факторной аутентификации, такие как некоторые устройства Yubikey.

  1. Веб-браузеры поддерживают все больше API и функций и добавления в Google Chrome API-интерфейсы WebUSB и WebBluetooth разрешают сайтам взаимодействовать с устройствами подключенными к пк, на котором запущен браузер. Исследователи безопасности недавно продемонстрировали, что функциональность WebUSB веб-браузера Google Chrome может использоваться для взаимодействия напрямую использовать устройства аутентификации, а не API Google Chrome (U2F) которые предназначенные для этой цели.
  2. Атака обходит любую защиту, которую предлагают устройства двух факторной аутентификации. Устройства должны поддерживать протоколы для подключения к браузеру, отличному от U2F, чтобы атака работала, а пользователям необходимо взаимодействовать с фишинговым сайтом для успешного проведения атаки(зайти на такой сайт). Chrome отобразит запрос когда сайт пытается использовать WebUSB или WebBluetooth. Пользователь должен разрешить запрос и ввести имя пользователя и пароль учетной записи в указанные на сайте формы. Хотя это создает барьер который требует взаимодействия с пользователем, прежде чем может быть выполнена атака, но все же подчеркивает что новые функции могут открыть новые возможности для злоупотреблений. Пользователи должны обращать внимание на диалоговые окна разрешений(на которые мало кто обращает внимание), которые им отображает браузер. Сайты атак могут быть спроектированы таким образом, чтобы обеспечить пользователям уверенность в том что такие запросы разрешений необходимы для их функциональности. Пока неясно сколько пользователей попадется на это, особенно те которые используют аппаратные устройства двух факторной аутентификации, но почти наверняка что некоторые будут.
  3. Отключить WebBluetooth в реестре

  4. Отключить WebBluetooth в реестре, можно перейдя и выполнив в ключе действия описываемые ниже:
  5. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\
    DefaultWebBluetoothGuardSetting (DWORD)
    Value – 2

  6. Два расширения для браузера с открытым исходным кодом, которые отключат (Disable WebUSB и Disable WebBluetooth) эти функции браузера. Они блокируют API в браузере чтобы ими нельзя было злоупотреблять. Должно быть ясно что эти расширения будут блокировать любое взаимодействие с этими API(функциями WebUSB и WebBluetooth). Расширения не смогут отличать хорошие и плохие запросы или фишинговые сайты, они просто отключат данные функции.
  7. Если вы никогда не используете WebUSB или WebBluetooth, вы можете рассмотреть возможность установки расширений для этого дополнительного уровня безопасности. Расширения работают в фоновом режиме и блокируют любые попытки использовать API WebUSB или WebBluetooth.

  8. Скачать программы упоминающиеся в статье:

    Перейти для скачивания и установки WebUSB.
    Перейти для скачивания и установки WebBluetooth.