如何禁用Google Chrome中的WebUSB和WebBluetooth

2019年1月26日17:06:55 发表评论

Google Chrome浏览器最近添新增了WebUSB和WebBluetooth API,允许网站与连接到运行浏览器的设备的设备进行交互。

如何禁用Google Chrome中的WebUSB和WebBluetooth

虽然有些时候可能会用到这些功能,但有时候新功能的引入会带来无法预料的后果。

在开启WebUSB和WebBluetooth的情况下,会为网络钓鱼攻击打开大门,可以绕过基于硬件的双因素身份验证设备,例如一些Yubikey设备。

有研究人员最近证明,Google Chrome网络浏览器的WebUSB功能可用于直接与双因素身份验证设备进行交互,而不是用于此目的的Google Chrome API(U2F)。

攻击绕过了双因素身份验证设备易受影响的任何保护措施。设备需要支持连接到U2F以外的浏览器的协议才能使攻击工作,并且用户需要与网络钓鱼站点进行交互才能成功执行攻击。

如何禁用Google Chrome中的WebUSB和WebBluetooth

当网站尝试使用WebUSB或WebBluetooth时,Chrome会显示提示。用户需要允许该请求,并在网站上的指定表单中键入或粘贴该帐户的用户名和密码。

虽然这样做了一个障碍,一个需要用户互动才能实施的障碍,但它仍然强调新功能可能会开辟新的滥用可能性。

用户需要注意浏览器向他们显示的权限对话框。攻击站点的设计方式可以让用户确信这些权限提示是功能所必需的。虽然目前还不清楚有多少用户会因此而失败,特别是那些使用硬件双因素身份验证设备的用户,但几乎可以肯定有些用户会这样做。

两个开源浏览器扩展禁用WebUSB禁用WebBluetooth直接解决问题; 它们会阻止浏览器中的API,以免被滥用。应该清楚的是,这些扩展将阻止与这些API的任何交互; 它不区分好的和坏的请求。

如果您从不使用WebUSB或WebBluetooth,您可能需要考虑为额外的安全性安装扩展。扩展在后台静默运行,并阻止任何使用WebUSB或WebBluetooth API的尝试。

©里维斯社,本站推荐使用的主机:阿里云腾讯云;本站推荐使用的WP主题:WordPress主题

晨会游戏

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: