С июня Google начнет блокировать попытки авторизации на ее сервисах с помощью встроенных в сторонние приложения браузерных фреймворков. Это нововведение должно усилить защиту пользователей от MitM-атак фишеров.

По словам руководителя Google по продуктам и защите аккаунтов Джонатана Скелкера (Jonathan Skelker), компания планирует блокировать любые попытки авторизации через Chromium Embedded Framework (CEF), XULRunner и подобные им встраиваемые решения. Ранее эти инструменты позволяли разработчикам внедрять функции браузера в свои приложения, но также применялись злоумышленниками для проведения фишинговых атак.

Мошенники похищали учетные данные с помощью фальшивой страницы авторизации, а затем, заняв положение «человек посередине», использовали встроенный браузер для автоматического входа в аккаунт Google, минуя двухфакторную аутентификацию. Так как подобную MitM-атаку сложно отличить от действий законного пользователя, в компании решили полностью исключить проблемные возможности.

«Поскольку мы не можем заметить разницу между легитимной авторизацией и MitM-атакой на этих платформах, в июне мы заблокируем вход через встроенные браузерные фреймворки», — заявил Скелкер.

В качестве альтернативы CEF разработчикам приложений предлагают использовать OAuth-авторизацию. Помимо прочего, этот метод поможет пользователям избежать фишинговых атак, так как при вводе учетных данных они будут видеть полный URL-адрес страницы.

В прошлом месяце нововведение для борьбы с MitM-атаками появилось и в Mozilla Firefox. Теперь браузер сообщает пользователю о попытках злоумышленников удаленно перехватить зашифрованный трафик — уведомление отображается, если приложение посчитает новый TLS-сертификат ненадежным или усомнится в его принадлежности к хосту, с которым установлено соединение.

Категории: Кибероборона, Мошенничество