Google реализует новую меру защиты от атак типа человек посередине (man in the middle, MitM)
GOOGLE РЕАЛИЗУЕТ НОВУЮ МЕРУ ЗАЩИТЫ ОТ ФИШИНГОВЫХ АТАК
С июня компания начнет блокировать авторизацию из встроенных в приложения браузеров.
С целью обеспечения лучшей защиты от атак типа «человек посередине» («man in the middle», MitM) компания Google будет блокировать попытки авторизации, инициированные из встроенных фреймворков для web-браузинга, которые нередко используются в фишинговых атаках.
Речь идет о Chromium Embedded Framework (CEF), XULRunner и тому подобных инструментах. Встроенные фреймворки браузеров позволяют разработчикам добавлять в приложения функции браузера. К примеру, CEF предоставляет возможность встраивать в приложения браузерный движок Chromium.
Как пояснил директор по продукции Google в блоге компании, фишеры могут использовать такие фреймворки для выполнения скрипта JavaScript на web-странице и автоматизации пользовательской активности. В рамках атаки «человек посередине» злоумышленник, владеющий учетными данными и кодами двухфакторной аутентификации, может автоматизировать авторизацию в настоящих сервисах Google.
Подобные атаки сложно обнаружить, и блокировка попыток авторизации с этих платформ должна решить проблему.
«Поскольку мы не можем заметить разницу между легитимной авторизацией и MitM-атакой на данные платформы, начиная с июня, мы будем блокировать попытки авторизации с встроенных браузерных фреймворков».
Данная мера коснется разработчиков, которым придется изъять такие фреймворки из своих приложений. Им Google рекомендует перейти на использование Oauth-аутентификации.