Google реалізує нову міру захисту від атак типу людей посередині (man in the middle, MitM)

GOOGLE РЕАЛІЗУЄ НОВУ ЗАХІД ВІД ФІШИНГОВИХ АТАК

З червня компанія почне блокувати авторизацію із вбудованих у додатки браузерів.

З метою забезпечення кращого захисту від атак типу «людина посередині» («man in the middle», MitM) компанія Google блокуватиме спроби авторизації, ініційовані з вбудованих фреймворків для web-браузингу, які нерідко використовуються в фішингових атаках. >

Йдеться про Chromium Embedded Framework (CEF), XULRunner тощо. Вбудовані фреймворки браузерів дозволяють розробникам додавати до програм функції браузера. Наприклад, CEF надає можливість вбудовувати в додатки браузерний двигун Chromium.

Як пояснив директор з продукції Google у блозі компанії, фішери можуть використовувати такі фреймворки для виконання скрипта JavaScript на web-сторінці та автоматизації активності користувача. В рамках атаки «людина посередині» зловмисник, який володіє обліковими даними та кодами двофакторної автентифікації, може автоматизувати авторизацію у цих сервісах Google.

Подібні атаки складно виявити, і блокування спроб авторизації з цих платформ має вирішити проблему.

«Оскільки ми не можемо помітити різницю між легітимною авторизацією та MitM-атакою на дані платформи, починаючи з червня, ми блокуватимемо спроби авторизації із вбудованих браузерних фреймворків».

Цей захід торкнеться розробників, яким доведеться вилучити такі фреймворки зі своїх додатків. Їм Google рекомендує перейти на використання автентифікації Oauth.

Інші новини